- 文档
- Red Hat OpenShift Service on AWS
- 身份验证和授权
- 身份验证和授权概述 history bug_report picture_as_pdf
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- ROSA 与 HCP 激活和帐户链接
- ROSA 与 HCP 私有产品接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALB 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS Load Balancer 运算符
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供程序
- 在使用 STS 的 ROSA 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Controllers for Kubernetes
- 在 ROSA 上部署 External DNS 运算符
- 使用 ROSA 上的 cert-manager 运算符动态颁发证书
- 为外部流量分配一致的出口 IP
- 使用自定义域和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装 ROSA 与 HCP 集群
- 安装 ROSA Classic 集群
- 支持
- Web控制台
- CLI工具
- Red Hat OpenShift集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- 操作符
- 网络
- 构建应用程序
- 备份和恢复
- 节点
- 可观察性
- 服务网格
- 无服务器
- 虚拟化
身份验证和授权概述
AWS 上 Red Hat OpenShift 服务身份验证和授权常用术语表
本词汇表定义了 AWS 上 Red Hat OpenShift 服务身份验证和授权中使用的常用术语。
- 身份验证
-
身份验证确定对 AWS 上 Red Hat OpenShift 服务集群的访问权限,并确保只有经过身份验证的用户才能访问 AWS 上的 Red Hat OpenShift 服务集群。
- 授权
-
授权确定已识别的用户是否有权限执行请求的操作。
- Bearer 令牌
-
Bearer 令牌用于使用标头
Authorization: Bearer <token>对 API 进行身份验证。
- 配置映射
-
配置映射提供了一种将配置数据注入 Pod 的方法。您可以在类型为
ConfigMap的卷中引用存储在配置映射中的数据。在 Pod 中运行的应用程序可以使用此数据。 - 容器
-
轻量级且可执行的镜像,包含软件及其所有依赖项。由于容器虚拟化了操作系统,因此您可以在数据中心、公共或私有云或本地主机上运行容器。
- 自定义资源 (CR)
-
CR 是 Kubernetes API 的扩展。
- 组
-
组是一组用户。组可用于一次向多个用户授予权限。
- HTPasswd
-
HTPasswd 更新存储 HTTP 用户身份验证用户名和密码的文件。
- Keystone
-
Keystone 是一个 Red Hat OpenStack 平台 (RHOSP) 项目,提供身份、令牌、目录和策略服务。
- 轻量级目录访问协议 (LDAP)
-
LDAP 是一个查询用户信息的协议。
- 命名空间
-
命名空间隔离对所有进程可见的特定系统资源。在一个命名空间内,只有该命名空间的成员进程才能看到这些资源。
- 节点
-
节点是 AWS 上 Red Hat OpenShift 服务集群中的工作机器。节点可以是虚拟机 (VM) 或物理机。
- OAuth 客户端
-
OAuth 客户端用于获取 Bearer 令牌。
- OAuth 服务器
-
AWS 上 Red Hat OpenShift 服务控制平面包含一个内置的 OAuth 服务器,该服务器根据配置的身份提供程序确定用户的身份并创建访问令牌。
- OpenID Connect
-
OpenID Connect 是一种协议,用于对用户进行身份验证,以便使用单点登录 (SSO) 访问使用 OpenID 提供程序的站点。
- Pod
-
Pod 是 Kubernetes 中最小的逻辑单元。Pod 由一个或多个在工作节点中运行的容器组成。
- 普通用户
-
首次登录或通过 API 自动在集群中创建的用户。
- 请求头
-
请求头是一个 HTTP 头,用于提供有关 HTTP 请求上下文的信息,以便服务器可以跟踪请求的响应。
- 基于角色的访问控制 (RBAC)
-
一种关键的安全控制,用于确保集群用户和工作负载只能访问执行其角色所需资源。
- 服务账户
-
服务账户由集群组件或应用程序使用。
- 系统用户
-
安装集群时自动创建的用户。
- 用户
-
用户是可以向 API 发出请求的实体。
关于 AWS 上 Red Hat OpenShift 服务中的身份验证
要控制对 AWS 上 Red Hat OpenShift 服务集群的访问,具有dedicated-admin角色的管理员可以配置用户身份验证,并确保只有已批准的用户才能访问集群。
要与 AWS 上 Red Hat OpenShift 服务集群交互,用户必须首先以某种方式向 AWS 上 Red Hat OpenShift 服务 API 进行身份验证。您可以通过在对 AWS 上 Red Hat OpenShift 服务 API 的请求中提供OAuth 访问令牌或 X.509 客户端证书来进行身份验证。
|
如果您没有提供有效的访问令牌或证书,则您的请求未经身份验证,您将收到 HTTP 401 错误。 |
管理员可以通过配置身份提供程序来配置身份验证。您可以定义任何AWS 上 Red Hat OpenShift 服务中受支持的身份提供程序并将其添加到您的集群。
关于 AWS 上 Red Hat OpenShift 服务中的授权
授权涉及确定已识别的用户是否有权限执行请求的操作。
管理员可以使用RBAC 对象(如规则、角色和绑定)来定义权限并将它们分配给用户。要了解授权在 AWS 上 Red Hat OpenShift 服务中的工作原理,请参阅评估授权。
您还可以通过项目和命名空间来控制对 AWS 上 Red Hat OpenShift 服务集群的访问。
除了控制用户对集群的访问之外,您还可以使用安全上下文约束 (SCC)来控制 Pod 可以执行的操作以及它可以访问的资源。
您可以通过以下任务管理 AWS 上 Red Hat OpenShift 服务的授权
-
创建一个本地角色并将其分配给用户或组。
-
将集群角色分配给用户或组:AWS 上 Red Hat OpenShift 服务包含一组默认集群角色。您可以将它们添加到用户或组。
-
创建集群管理员和专用管理员用户:在 AWS 上创建 Red Hat OpenShift Service 集群的用户可以授予其他
cluster-admin和dedicated-admin用户访问权限。 -
创建服务账户:服务账户 提供了一种灵活的方式来控制 API 访问权限,而无需共享普通用户的凭据。用户可以在应用程序中创建和使用服务账户,也可以用作OAuth 客户端。
-
作用域令牌:作用域令牌是一种标识特定用户并只能执行特定操作的令牌。您可以创建作用域令牌以将部分权限委派给其他用户或服务账户。
-
同步 LDAP 组:您可以通过将存储在 LDAP 服务器中的组与 AWS 上的 Red Hat OpenShift Service 用户组同步来在一个地方管理用户组。