redhat:openshift-redhat:base-openshift:ose-permissions

Red Hat OpenShift Berechtigungen

Die aufgeführten Befehle wurden mit der OpenShift Version 3.10 getestet und dokumentiert. Das Thema Berechtigungen wird auf dieser Seite ausführlich behandelt und mit Code Segmenten ergänzt. Die Informationen werden stets aktualisiert und auf der neusten Version von OpenShift gehalten.

FIXME OpenShift Cluster User anzeigen:

[michael@osec01 ~]$ oc get user
NAME      UID                                    FULL NAME   IDENTITIES
michael   5674baec-4b31-11e9-b5a4-000c29054c0c               htpasswd_auth:michael

OpenShift Cluster User anlegen:

[michael@osec01 ~]$ oc TPD......
NAME      UID                                    FULL NAME   IDENTITIES
michael   5674baec-4b31-11e9-b5a4-000c29054c0c               htpasswd_auth:michael

Betrachtung aller aktuell vorhandenen Cluster Rollen:

$ oc get clusterrolebinding

Betrachtung aller User-spezifischen Cluster Rollen:

$ oc get clusterrolebinding | grep <username>

Einem User eine Cluster Rolle hinzufügen:

$ oc adm policy add-cluster-role-to-user <cluster-role> <username>

Eine bestehende Cluster Rolle von einem User entfernen:

$ oc adm policy remove-cluster-role-from-user <cluster-role> <username>

Betrachtung aller aktuell vorhandenen Projekt Rollen:

$ oc get rolebinding -n <project-name>

Einem User eine Projekt Rolle hinzufügen:

$ oc adm policy add-role-to-user <project-role> <username>

Eine bestehende Projekt Rolle von einem User entfernen:

$ oc adm policy remove-role-from-user <project-role> <username>


Folgende Projektrollen können vom Projektersteller, Projekt-Administrator oder einem Cluster-Admin vergeben werden. Personen welche ein neues Projekt auf OpenShift erstellen, erhalten automatisch die Projekt-Administrator für das jeweilige Projekt.

Admin
Ein Benutzer welcher diese Rolle / Berechtigung erhalten hat, kann das ganze Projekt administrieren sowie Berechtigungen auf dem Projekt verwalten.

basic-user
Diese Projektrolle erlaubt eine generelle Ansicht von grundlegenden Informationen (Benutzer, Gruppen, Pods, Services usw) über das Projekt.

edit
Ein Mitglied dieser Projektrolle kann die meisten Objekte eines Projektes kreieren, ändern oder löschen. Eine Änderung an Berechtigungen (Projektrollen) können nicht gemacht werden.

view
Ein Benutzer welcher alle Ressourcen sehen kann, jedoch diese nicht bearbeiten kann. Zusätzlich sind generierte Passwörter (Automatisierung) sowie Berechtigungen für diese Rolle nicht einsehbar.

system:deployer
Ist primär mit Service-Accounts (OpenShift) verknüpft, welche für das automatisierte Deployment innerhalb des Projektes verwendet wird. Ein Account mit dieser Berechtigung kann in dem Projekt Deployments vornehmen.

system:image-builder
Hat Berechtigungen für Build, Push und Pull von Images innerhalb des Projekts. Ist primär mit einem Service-Account (OpenShift) verknüpft.

system:image-puller
Diese Rolle, welche auch wieder für Service-Accounts (OpenShift) verwendet wird, ist berechtigt Images innerhalb des Projektes zu pullen.

system:image-pusher
Hat die Berechtigung Images innerhalb des Projekts zu pushen und pullen. Wird vor allem auch bei Service-Accounts von OpenShift verwendet.

  • redhat/openshift-redhat/base-openshift/ose-permissions.txt
  • Last modified: 2019/04/04 11:18
  • by michael