クーバネティスポリシー UI コードヘルパー

概要

組織内のクーバネティスクラスターのアクセスポリシーを管理できます。クーバネティスポリシーは Policy as Code (PaC) として動作し、YAML フォーマットに基づいています。

右側にはポリシー UI コードヘルパーがあり、ユーザーが簡単にコードエディターにコンテンツを挿入できるようにモーダルを提供しています。

UI コードヘルパーの使用

コードエディター画面の右側には、各フィールドのコード入力を支援するモーダルが用意されています。このモーダルはコード編集を補助し、モーダル経由で挿入されたコンテンツはコードエディターから直接削除できます。

1. リソースの追加

   

   1. Spec: Allow と Spec: Deny セクションでも同じように動作します。

   2. クラスター名でリソースを検索できます。

   3. リソースをコードに挿入するには、目的のリソースの横にあるチェックボックスをオンにし、Addボタンをクリックします。

2. サブジェクトの設定

   

   1. Spec: Allow セクションでのみ動作します。

   2. Kubernetes Groups: (必須) このフィールドを使用して、KubePie Proxy が API コールを実行するためになりすますクーバネティスグループを指定します。

   3. Permitted Impersonation: (オプション) このフィールドを使用して、ユーザーが--asおよび--as-groupパラメータを使用してクライアントを介してなりすましを試みたときになりすましを許可するクーバネティスユーザー/グループをリストします。

      1. Allowed Kubernetes Users:--asパラメータを使用してなりすましを許可するクーバネティスユーザーをリストします。

      2. Allowed Kebernetes Groups:as-groupパラメータを使用して、なりすましが許可されているクーバネティスグループをリストします。

      3. コンマ（,）を区切り文字として使用して、複数のエントリーを登録できます。

   4. モーダルにはエディターから既存の情報が表示されます。Setボタンをクリックすると、エディターの内容が変更内容で上書きされます。

3. アクションの追加

   

   1. Spec: Allow と Spec: Deny セクションでも同じように動作します。

   2. API Group: デフォルトは "*" ですが、管理者が変更できます。カンマ（,）で複数のエントリーを追加できます。

   3. Resources: クーバネティスリソースを指定します。

      1. デフォルトは "*" ですが、管理者が変更できます。複数のエントリを追加できます。

      2. よく使われるリソースは以下の通り：

         • pods,pods/exec, pods/log, pods/portforward, services, ingresses, deployments, replicasets、statefulsets, daemonets, configmaps, secrets, namespaces, nodes, persistentvolumes, persistentvolumeclaims, jobs, cronjobs, serviceaccounts, endpoints, roles, rolebindings, clusterroles, clusterrolebinding

      3. 上記のリストにないリソースについては、直接入力してカスタムリソースを指定できます。

      4. 一度指定した項目はブロックとして表示され、"X" をクリックすることで削除できます。

   4. Namespace: クーバネティスリソースのスコープを制限するための Namespace を指定します。

      1. デフォルトは "*" ですが、管理者が変更できます。ワイルドカードと正規表現をサポートします。

      2. Namespace スコープ外のリソースには、このフィールドの値は影響しません。

         • Namespace 以外のリソース: 例) persistentvolumes, persistentvolumeclaims, serviceaccounts, customresourcedefinitions, endpoints, node, clusterroles, clusterrolebindings

   5. Name: 対象とするクーバネティスリソースの名前を指定します。

      1. デフォルトは "*" ですが、管理者が変更できます。ワイルドカードと正規表現をサポートします。

   6. Verbs: 複数のクーバネティス API メソッドを指定します。

      1. デフォルトは "*"。一度指定すると、アイテムはブロックとして表示され、"X" をクリックすることで削除できます。

      2. よく使われる Verbs は以下の通りです:

         • get, list, watch, create, update, patch, delete, deletecollection

      3. カスタムリソースに他の verbs を直接入力して指定することもできます。

   7. Addボタンをクリックして、アクションリスト内のアクションセットを定義します。

   8. これはコードの追加操作として機能し、以前に追加したアクションをリセットすることなく新しいアクションを追加できます。

4. 条件の設定

   

   1. 以下の項目はすべて任意です。

   2. モーダルには、エディタから既存の情報が表示され、Setボタンをクリックすると、エディタの内容が変更内容で上書きされます。

   3. Resource Tags（オプション）

      1. 対象のクーバネティスクラスターのスコープを、添付されたタグに基づいて制限できます。

      2. 各行は AND 条件として動作し、行内の値はカンマ（,）で区切られた OR 条件として動作します。

      3. 新しい行を作成するにはInsertボタンをクリックします。

      4. タグはブロックとして表示され、"X" をクリックすることで削除できます。

      5. フィールド

         1. Key: タグキー（正規表現または glob はサポートしない）

         2. Value : タグ値（正規表現、glob、複数入力をサポート）

   4. User Attributes (オプション)

      1. ユーザー属性に基づいて対象ユーザーの範囲を制限できます。

      2. ポリシーを使用するには、ユーザーが指定されたすべての属性値に一致する必要があります。

      3. 各行は AND 条件として動作し、行内の値はカンマ (,) 区切りの OR 条件として動作します。

      4. 変数名フィールドは、現在サポートされている属性を示します:

         • loginId,firstName,lastName,middleName,honorificPrefix,honorificSuffix,email, title, displayName, nickName, profileUrl, secondEmail,mobilePhone, primaryPhone,streetAddress, city, state, zipCode, countryCode, postalAddress, preferredLanguage,locale,timezone,userType,employeeNumber,costCenter,organization,division,department,managerId,manager,endpoints,staticIp,macAddress

   5. IP アドレス (オプション)

      1. 管理者は、リソースへのアクセスを許可または拒否する IP 範囲を指定できます。

      2. カンマ（,）で区切られた単一 IP と CIDR 表記の両方をサポートします。