在安装 OKD 时,我想授予用户绝对查看通过 API 可用的任何资源的权限。据我所知,我最好的选择是创建一个用户并执行
oc adm policy add-cluster-role-to-user cluster-reader <user>
给用户集群读者角色。
但是,通过阅读文档,我仍然不清楚该用户可以从此处的 145 个 GET 端点和此处的 116 个端点访问绝对可用的所有内容
在一个示例中,我让管理员在 /oapi/v1/clusterpolicies 上执行 GET 并接收
{“种类”:“状态”,“apiVersion”:“v1”,“元数据”:{
},“状态”:“失败”,“消息”:“服务器找不到请求的资源”,“原因”:“未找到”,“详细信息”:{
},“代码”:404
但是,当我创建的用户只是为了添加 cluster-reader 时,与该用户执行相同的调用会返回:
{“种类”:“状态”,“apiVersion”:“v1”,“元数据”:{
}, "status": "Failure", "message": "clusterpolicies is disabled: User \"\" cannot list clusterpolicies at the cluster scope: no RBAC policy matching",
"reason": "Forbidden", "details": {“种类”:“集群策略”},“代码”:403
诸如此类的示例是否只是资源的错误代码的差异,无论如何都不存在,或者如果我真的希望它完全读取所有内容,我是否缺少我的用户的角色?