GetAuthMachineToMachineConfig - AuthService | API 参考 | Red Hat Advanced Cluster Security for Kubernetes 4.6

GET /v1/auth/m2m/{id}

GetAuthMachineToMachineConfig 获取特定的机器到机器身份验证配置。

描述

参数

路径参数

名称	描述	必填	默认值	模式
id		是	null

名称

描述

必填

默认值

模式

是

null

返回类型

V1GetAuthMachineToMachineConfigResponse

内容类型

application/json

响应

表1. HTTP响应代码
代码	消息	数据类型
200	成功的响应。	V1GetAuthMachineToMachineConfigResponse
0	意外的错误响应。	GooglerpcStatus

示例

公共对象引用

AuthMachineToMachineConfigMapping

映射将身份令牌的声明值映射到Central中的特定角色。

字段名称	类型	描述
key	字符串	要在身份令牌的声明值中使用的键。
valueExpression	字符串	将针对指定键标识的身份令牌声明值进行评估的正则表达式。此正则表达式采用RE2格式，更多信息请参见：https://github.com/google/re2/wiki/Syntax。
role	字符串	当特定身份令牌的键和值匹配时应颁发的角色。

字段名称

必填

可空

类型

描述

格式

key

字符串

要在身份令牌的声明值中使用的键。

valueExpression

字符串

将针对指定键标识的身份令牌声明值进行评估的正则表达式。此正则表达式采用RE2格式，更多信息请参见：https://github.com/google/re2/wiki/Syntax。

role

字符串

当特定身份令牌的键和值匹配时应颁发的角色。

GooglerpcStatus

字段名称

必填

可空

类型

描述

格式

code

整数

int32

message

字符串

details

ProtobufAny 列表

ProtobufAny

Any包含任意序列化的协议缓冲区消息以及描述序列化消息类型的URL。

Protobuf库提供支持，以实用程序函数或Any类型的其他生成方法的形式打包/解包Any值。

示例1：在C++中打包和解包消息。

Foo foo = ...;
Any any;
any.PackFrom(foo);
...
if (any.UnpackTo(&foo)) {
  ...
}

示例2：在Java中打包和解包消息。

Foo foo = ...;
Any any = Any.pack(foo);
...
if (any.is(Foo.class)) {
  foo = any.unpack(Foo.class);
}
// or ...
if (any.isSameTypeAs(Foo.getDefaultInstance())) {
  foo = any.unpack(Foo.getDefaultInstance());
}

Example 3: Pack and unpack a message in Python.

foo = Foo(...)
any = Any()
any.Pack(foo)
...
if any.Is(Foo.DESCRIPTOR):
  any.Unpack(foo)
  ...

Example 4: Pack and unpack a message in Go

foo := &pb.Foo{...}
any, err := anypb.New(foo)
if err != nil {
  ...
}
...
foo := &pb.Foo{}
if err := any.UnmarshalTo(foo); err != nil {
  ...
}

protobuf库提供的pack方法默认使用'type.googleapis.com/full.type.name'作为类型URL，unpack方法仅使用类型URL中最后一个'/'后的完全限定类型名称，例如"foo.bar.com/x/y.z"将产生类型名称"y.z"。

JSON表示

Any 值的 JSON 表示使用反序列化的嵌入消息的常规表示，并增加一个包含类型 URL 的附加字段@type。示例

package google.profile;
message Person {
  string first_name = 1;
  string last_name = 2;
}

{
  "@type": "type.googleapis.com/google.profile.Person",
  "firstName": <string>,
  "lastName": <string>
}

如果嵌入的消息类型是众所周知的并且具有自定义 JSON 表示，则该表示将被嵌入，并添加一个字段value，该字段除了@type字段外还包含自定义 JSON。示例（对于消息 [google.protobuf.Duration][]）

{
  "@type": "type.googleapis.com/google.protobuf.Duration",
  "value": "1.212s"
}

字段名称必填可空类型描述格式

字段名称	必填	可空	类型	描述	格式
@type			字符串	唯一标识序列化协议缓冲区消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一部分必须表示类型的完全限定名称（如`path/google.protobuf.Duration`）。名称应采用规范形式（例如，不接受前导“.”）。实际上，团队通常会预编译其预期在 Any 上下文中使用的所有类型到二进制文件中。但是，对于使用方案`http`、`https`或无方案的 URL，可以选择设置一个类型服务器，用于将类型 URL 映射到消息定义，如下所示：* 如果未提供方案，则假定为`https`。* 对 URL 的 HTTP GET 必须产生二进制格式的[google.protobuf.Type][]值，否则会产生错误。* 应用程序可以根据 URL 缓存查找结果，或者将其预编译到二进制文件中以避免任何查找。因此，需要在类型更改时保留二进制兼容性。（使用版本化的类型名称来管理重大更改。）注意：此功能当前在官方 protobuf 版本中不可用，并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月，没有广泛使用的类型服务器实现，也没有计划实现一个。可能会使用除`http`、`https`（或空方案）以外的方案，并具有特定于实现的语义。

@type

字符串

唯一标识序列化协议缓冲区消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一部分必须表示类型的完全限定名称（如path/google.protobuf.Duration）。名称应采用规范形式（例如，不接受前导“.”）。实际上，团队通常会预编译其预期在 Any 上下文中使用的所有类型到二进制文件中。但是，对于使用方案http、https或无方案的 URL，可以选择设置一个类型服务器，用于将类型 URL 映射到消息定义，如下所示：* 如果未提供方案，则假定为https。* 对 URL 的 HTTP GET 必须产生二进制格式的[google.protobuf.Type][]值，否则会产生错误。* 应用程序可以根据 URL 缓存查找结果，或者将其预编译到二进制文件中以避免任何查找。因此，需要在类型更改时保留二进制兼容性。（使用版本化的类型名称来管理重大更改。）注意：此功能当前在官方 protobuf 版本中不可用，并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月，没有广泛使用的类型服务器实现，也没有计划实现一个。可能会使用除http、https（或空方案）以外的方案，并具有特定于实现的语义。

V1AuthMachineToMachineConfig

AuthMachineToMachineConfig 确定将第三方身份令牌与中央访问令牌交换的规则。M2M 代表机器到机器，因为这是该配置的预期用例。

字段名称	类型	描述	格式
id	字符串	配置的 UUID。请注意，在添加机器到机器配置时，不应设置此字段。
类型	V1AuthMachineToMachineConfigType		GENERIC、GITHUB_ACTIONS、KUBE_SERVICE_ACCOUNT、
tokenExpirationDuration	字符串	设置从 ExchangeAuthMachineToMachineToken API 调用返回的令牌的过期时间。可能的有效时间单位：s、m、h。允许的最大过期持续时间为 24 小时。例如：2h45m。有关持续时间验证的更多信息，请参见：https://pkg.go.dev/time#ParseDuration。
映射	AuthMachineToMachineConfigMapping 列表	至少需要一个映射才能解析为有效的角色，以便成功生成访问令牌。
发行者	字符串	颁发要交换的 ID 令牌的相关 OIDC 提供商的发行者。当类型为 GENERIC 时，必须是非空字符串，包含 URL。对于 GitHub Actions，这必须为空或设置为 https://token.actions.githubusercontent.com。发行者是唯一的键，因此最多可能只有一个 GITHUB_ACTIONS 配置，并且每个 GENERIC 配置都必须具有不同的发行者。

字段名称

必填

可空

类型

描述

格式

字符串

配置的 UUID。请注意，在添加机器到机器配置时，不应设置此字段。

类型

V1AuthMachineToMachineConfigType

GENERIC、GITHUB_ACTIONS、KUBE_SERVICE_ACCOUNT、

tokenExpirationDuration

字符串

设置从 ExchangeAuthMachineToMachineToken API 调用返回的令牌的过期时间。可能的有效时间单位：s、m、h。允许的最大过期持续时间为 24 小时。例如：2h45m。有关持续时间验证的更多信息，请参见：https://pkg.go.dev/time#ParseDuration。

映射

AuthMachineToMachineConfigMapping 列表

至少需要一个映射才能解析为有效的角色，以便成功生成访问令牌。

发行者

字符串

颁发要交换的 ID 令牌的相关 OIDC 提供商的发行者。当类型为 GENERIC 时，必须是非空字符串，包含 URL。对于 GitHub Actions，这必须为空或设置为 https://token.actions.githubusercontent.com。发行者是唯一的键，因此最多可能只有一个 GITHUB_ACTIONS 配置，并且每个 GENERIC 配置都必须具有不同的发行者。

V1AuthMachineToMachineConfigType

Auth 机器到机器配置的类型。目前支持 GitHub Actions 或任何其他通用的 OIDC 提供商，用于验证和交换令牌。

枚举值
GENERIC
GITHUB_ACTIONS
KUBE_SERVICE_ACCOUNT

枚举值

GENERIC

GITHUB_ACTIONS

KUBE_SERVICE_ACCOUNT

V1GetAuthMachineToMachineConfigResponse

字段名称

必填

可空

类型

描述

格式

配置

V1AuthMachineToMachineConfig