RBAC Authorization

RBAC(Role-based access control) 방식

 

RBAC는 조직 내 개별 사용자의 역할에 따라 컴퓨터 또는 네트워크 리소스에 대한 액세스를 규제하는 방법

 

권한 부여는 rbac.authorization.k8s.io API 그룹을 사용하여 권한 부여 결정을 내리므로 Kubernetes API를 통해 정책을 동적으로 구성할 수 있음.

Role과 ClusterRole 차이

RBAC 또는 ClusterRole에는 권한 집합을 나타내는 규칙이 포함되어 있고, 권한은 거부 규칙이 없는 단순 추가

ClusterRole과 달리 Role은 항상 특정 네임스페이스 내에서 권한을 설정해야하고, Role이 속한 네임스페이스를 지정해야 한다.

 

ClusterRole은 네임스페이스가 없는 리소스이므로, Kubernetes 객체는 항상 네임스페이스가 지정되거나 네임스페이스가 지정되지 않아야 하기 때문에 리소스 이름(Role 및 ClusterRole)이 다릅니다.

 

ClusterRole에는 다음과 같은 여러 용도가 있다.

• 네임스페이스 리소스에 대한 권한을 정의하고 개별 네임스페이스 내에서 부여클러스터 범위 리소스에 대한 권한 정의
• 네임스페이스 내에서 역할을 정의하려면 역할을 사용하십시오. 클러스터 전체에서 역할을 정의하려면 ClusterRole을 사용하십시오.
• 네임스페이스 리소스에 대한 권한을 정의하고 모든 네임스페이스에 대해 부여

 

RoleBinding 및 ClusterRoleBinding

RoleBinding은 역할에 정의된 권한을 사용자 또는 사용자 집합에 부여합니다. 여기에는 주제(사용자, 그룹 또는 서비스 계정) 목록과 부여되는 역할에 대한 참조가 포함됩니다. RoleBinding은 특정 네임스페이스 내에서 권한을 부여하는 반면 ClusterRoleBinding은 클러스터 전체에 액세스 권한을 부여합니다.

 

RoleBinding은 동일한 네임스페이스의 모든 역할을 참조할 수 있습니다. 또는 RoleBinding이 ClusterRole을 참조하고 해당 ClusterRole을 RoleBinding의 네임스페이스에 바인딩할 수 있습니다. ClusterRole을 클러스터의 모든 네임스페이스에 바인딩하려면 ClusterRoleBinding을 사용합니다.

 

RoleBinding 또는 ClusterRoleBinding 개체의 이름은 유효한 경로 세그먼트 이름이어야 합니다.