PFCP のロール
PFCP で利用可能なロールと、各ロールで利用できる操作を説明します。
ロールの種類
PFCP には、 組織管理者 と 一般ユーザ の 2 種類のロールがあります。
組織管理者
- 所属組織のすべての操作が可能です。
- Kubernetes クラスタのルートネームスペースとすべてのサブネームスペースに対して、Kubernetes 標準ロール の
admin相当の権限を持ちます。
一般ユーザ
- 所属組織の Kubernetes クラスタを利用できます。
- Kubernetes クラスタのルートネームスペースに対して、Kubernetes 標準ロール の
edit相当の権限を持ちます。 - Kubernetes クラスタのサブネームスペースに対しては、初期状態では権限を持ちません。RoleBinding による権限の付与が必要です。
- ユーザ管理操作はできません。
利用可能な操作一覧
クラスタ利用
| 操作 | 組織管理者 | 一般ユーザ |
|---|---|---|
| kubectl のセットアップ | o | o |
| [Kubernetes リソースの操作] | ||
| ルートネームスペース: Kubernetes 標準ロールの admin 相当1 | o | |
| ルートネームスペース: Kubernetes 標準ロールの edit 相当2 | o | o |
| サブネームスペース: Kubernetes 標準ロールの admin 相当1 | o | |
| サブネームスペース: RoleBinding により個別に権限付与 | N/A | o3 |
| サブネームスペースの作成・削除 | o | |
| リソースクオータの確認 | o | o |
ユーザ管理
| 操作 | 組織管理者 | 一般ユーザ |
|---|---|---|
| ユーザの招待・削除 | o | |
| ユーザの権限変更 | o | |
| ユーザグループの作成・削除 | o | |
| ユーザグループへのユーザの追加・削除 | o | |
| ユーザグループと外部認証基盤との連携作成・削除 | o |
-
Kubernetes 標準の
adminとは一部異なり、一部リソースの権限削除および PFCP で利用しているカスタムリソースの権限追加がされています。org-adminという ClusterRole で定義されています。権限の詳細は、各リソースごとのドキュメントページをご確認ください。 ↩ ↩2 -
org-adminと同様、Kubernetes 標準のeditとは一部異なります。org-editという ClusterRole で定義されています。権限の詳細は、各リソースごとのドキュメントページをご確認ください。 ↩ -
RoleBinding で紐づける Role により、付与される権限が異なります。RoleBinding の詳細は、権限設定(RBAC) をご確認ください。 ↩