UpdateAuthMachineToMachineConfig - AuthService | API 参考 | Red Hat Advanced Cluster Security for Kubernetes 4.6

PUT /v1/auth/m2m/{config.id}

UpdateAuthMachineToMachineConfig 更新现有的机器到机器身份验证配置。如果机器到机器身份验证配置不存在，则会创建一个新的配置。

描述

参数

路径参数

名称	描述	必填	默认值	模式
config.id	配置的 UUID。请注意，在添加机器到机器配置时，不应设置此字段。	是	null

名称

描述

必填

默认值

模式

config.id

配置的 UUID。请注意，在添加机器到机器配置时，不应设置此字段。

是

null

主体参数

名称	描述	必填	默认值	模式
body	AuthServiceUpdateAuthMachineToMachineConfigBody	是

名称

描述

必填

默认值

模式

body

AuthServiceUpdateAuthMachineToMachineConfigBody

是

返回类型

对象

内容类型

application/json

响应

表 1. HTTP 响应代码
代码	消息	数据类型
200	成功的响应。	`对象`
0	意外的错误响应。	GooglerpcStatus

示例

常用对象引用

AuthMachineToMachineConfigMapping

映射将身份令牌的声明值映射到 Central 中的特定角色。

字段名称	类型	描述
key	字符串	身份令牌声明值中要使用的键。
valueExpression	字符串	一个将针对由指定密钥标识的身份令牌声明的值进行评估的正则表达式。此正则表达式采用 RE2 格式，更多信息请参见：https://github.com/google/re2/wiki/Syntax。
角色	字符串	当特定身份令牌的密钥和值匹配时，应颁发的角色。

字段名称

必填

可空

类型

描述

格式

key

字符串

身份令牌声明值中要使用的键。

valueExpression

字符串

一个将针对由指定密钥标识的身份令牌声明的值进行评估的正则表达式。此正则表达式采用 RE2 格式，更多信息请参见：https://github.com/google/re2/wiki/Syntax。

角色

字符串

当特定身份令牌的密钥和值匹配时，应颁发的角色。

AuthServiceUpdateAuthMachineToMachineConfigBody

字段名称

必填

可空

类型

描述

格式

配置

AuthServiceUpdateAuthMachineToMachineConfigBodyConfig

AuthMachineToMachineConfig 确定使用来自第三方的身份令牌与中央访问令牌交换的规则。M2M 代表机器到机器，因为这是此配置的预期用例。

字段名称	类型	描述	格式
类型	V1AuthMachineToMachineConfigType		GENERIC、GITHUB_ACTIONS、KUBE_SERVICE_ACCOUNT、
令牌过期时长	字符串	设置从 ExchangeAuthMachineToMachineToken API 调用返回的令牌的过期时间。可能的有效时间单位是：s、m、h。允许的最大过期时长为 24 小时。例如：2h45m。有关持续时间验证的更多信息，请参见：https://pkg.go.dev/time#ParseDuration。
映射	AuthMachineToMachineConfigMapping 列表	至少需要一个映射才能解析为有效的角色，才能成功生成访问令牌。
颁发者	字符串	颁发用于交换的 ID 令牌的相关 OIDC 提供商的颁发者。当类型为 GENERIC 时，必须是非空字符串，包含 URL。对于 GitHub Actions，此项必须为空或设置为 https://token.actions.githubusercontent.com。颁发者是唯一密钥，因此最多只能有一个 GITHUB_ACTIONS 配置，并且每个 GENERIC 配置都必须具有不同的颁发者。

字段名称

必填

可空

类型

描述

格式

类型

V1AuthMachineToMachineConfigType

GENERIC、GITHUB_ACTIONS、KUBE_SERVICE_ACCOUNT、

令牌过期时长

字符串

设置从 ExchangeAuthMachineToMachineToken API 调用返回的令牌的过期时间。可能的有效时间单位是：s、m、h。允许的最大过期时长为 24 小时。例如：2h45m。有关持续时间验证的更多信息，请参见：https://pkg.go.dev/time#ParseDuration。

映射

AuthMachineToMachineConfigMapping 列表

至少需要一个映射才能解析为有效的角色，才能成功生成访问令牌。

颁发者

字符串

颁发用于交换的 ID 令牌的相关 OIDC 提供商的颁发者。当类型为 GENERIC 时，必须是非空字符串，包含 URL。对于 GitHub Actions，此项必须为空或设置为 https://token.actions.githubusercontent.com。颁发者是唯一密钥，因此最多只能有一个 GITHUB_ACTIONS 配置，并且每个 GENERIC 配置都必须具有不同的颁发者。

GooglerpcStatus

字段名称

必填

可空

类型

描述

格式

代码

整数

int32

消息

字符串

详情

ProtobufAny 列表

ProtobufAny

Any 包含任意序列化的协议缓冲区消息以及描述序列化消息类型的 URL。

Protobuf 库提供支持，以实用程序函数或 Any 类型的其他生成方法的形式打包/解包 Any 值。

示例 1：在 C++ 中打包和解包消息。

Foo foo = ...;
Any any;
any.PackFrom(foo);
...
if (any.UnpackTo(&foo)) {
  ...
}

示例 2：在 Java 中打包和解包消息。

Foo foo = ...;
Any any = Any.pack(foo);
...
if (any.is(Foo.class)) {
  foo = any.unpack(Foo.class);
}
// or ...
if (any.isSameTypeAs(Foo.getDefaultInstance())) {
  foo = any.unpack(Foo.getDefaultInstance());
}

Example 3: Pack and unpack a message in Python.

foo = Foo(...)
any = Any()
any.Pack(foo)
...
if any.Is(Foo.DESCRIPTOR):
  any.Unpack(foo)
  ...

Example 4: Pack and unpack a message in Go

foo := &pb.Foo{...}
any, err := anypb.New(foo)
if err != nil {
  ...
}
...
foo := &pb.Foo{}
if err := any.UnmarshalTo(foo); err != nil {
  ...
}

Protobuf 库提供的打包方法默认使用“type.googleapis.com/full.type.name”作为类型 URL，而解包方法仅使用类型 URL 中最后一个“/”后的完全限定类型名称，例如“foo.bar.com/x/y.z”将产生类型名称“y.z”。

JSON 表示

Any 值的 JSON 表示使用反序列化的嵌入式消息的常规表示，以及包含类型 URL 的附加字段@type。示例

package google.profile;
message Person {
  string first_name = 1;
  string last_name = 2;
}

{
  "@type": "type.googleapis.com/google.profile.Person",
  "firstName": <string>,
  "lastName": <string>
}

如果嵌入式消息类型是众所周知的并且具有自定义 JSON 表示，则该表示将被嵌入，并添加一个字段value，该字段除了@type字段外还包含自定义 JSON。示例（对于消息[google.protobuf.Duration][]）

{
  "@type": "type.googleapis.com/google.protobuf.Duration",
  "value": "1.212s"
}

字段名称必填可空类型描述格式

字段名称	必填	可空	类型	描述	格式
@type			字符串	唯一标识序列化协议缓冲区消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一个段必须表示类型的完全限定名称（如在`path/google.protobuf.Duration`中）。名称应采用规范形式（例如，不接受前导“.”）。实际上，团队通常会将其预期在 Any 上下文中使用的所有类型预编译到二进制文件中。但是，对于使用方案`http`、`https`或无方案的 URL，可以选择设置一个类型服务器，该服务器将类型 URL 映射到消息定义，如下所示：* 如果没有提供方案，则假定为`https`。* 对 URL 的 HTTP GET 必须产生二进制格式的[google.protobuf.Type][]值，或产生错误。* 应用程序允许基于 URL 缓存查找结果，或将其预编译到二进制文件中以避免任何查找。因此，需要在类型更改时保留二进制兼容性。（使用版本化的类型名称来管理重大更改。）注意：此功能目前在官方 protobuf 版本中不可用，并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月，没有广泛使用的类型服务器实现，也没有计划实现一个。可能使用除`http`、`https`（或空方案）以外的方案以及特定于实现的语义。

@type

字符串

唯一标识序列化协议缓冲区消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一个段必须表示类型的完全限定名称（如在path/google.protobuf.Duration中）。名称应采用规范形式（例如，不接受前导“.”）。实际上，团队通常会将其预期在 Any 上下文中使用的所有类型预编译到二进制文件中。但是，对于使用方案http、https或无方案的 URL，可以选择设置一个类型服务器，该服务器将类型 URL 映射到消息定义，如下所示：* 如果没有提供方案，则假定为https。* 对 URL 的 HTTP GET 必须产生二进制格式的[google.protobuf.Type][]值，或产生错误。* 应用程序允许基于 URL 缓存查找结果，或将其预编译到二进制文件中以避免任何查找。因此，需要在类型更改时保留二进制兼容性。（使用版本化的类型名称来管理重大更改。）注意：此功能目前在官方 protobuf 版本中不可用，并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月，没有广泛使用的类型服务器实现，也没有计划实现一个。可能使用除http、https（或空方案）以外的方案以及特定于实现的语义。

V1AuthMachineToMachineConfigType

机器到机器身份验证配置的类型。目前支持 GitHub Actions 或任何其他用于验证和交换令牌的通用 OIDC 提供商。

枚举值
GENERIC
GITHUB_ACTIONS
KUBE_SERVICE_ACCOUNT

枚举值

GENERIC

GITHUB_ACTIONS

KUBE_SERVICE_ACCOUNT