【笔记】Helm-3 主题-15 SQL存储后端的权限管理

SQL存储后端的权限管理

该文档旨在提供用户使用SQL存储后端时设置和管理权限的指导。

介绍

为了处理权限,Helm利用了Kubernetes的RBAC特性。使用SQL存储后端时,Kubernetes的角色不能被用于确认用户是否可以访问给定的资源。该文档会展示如果创建和管理权限。

初始化

Helm CLI首先会连接您的数据库。客户端会确认数据库是否已经预先初始化,如果没有,它会自动处理必要的安装。初始化需要在public架构的admin权限,或者至少可以做以下事情:

1、创建一个表

2、在public架构授予权限

当您的数据库执行过迁移操作之后,其他角色就可以使用客户端了。

PostgreSQL向非管理员用户授权

管理权限时,SQL后端驱动会利用PostgreSQL的 RLS(行安全级别)特性。RLS允许所有用户读/写同一张表,如果没有明确说明,不允许操作相同的行。默认情况下,运行helm list时任何角色如果没有明确授权正确的权限会返回空列表,并且不能检索或修改集群中的任何资源。

PostgreSQL: Documentation: 9.5: Row Security Policies

我们来看看如何为给定角色授予访问特定命令空间的权限:

CREATE POLICY <name> ON releases_v1 FOR ALL TO <role> USING (namespace = 'default');

CREATE POLICY <name> ON releases_v1 FOR ALL TO <role> USING (namespace = 'default');

这个命令在使用namespace = 'default'条件时会授权给角色role所有资源读和写操作权限。在创建这个策略时,运行helm list时会代表角色role在默认的命令空间中数据库,因而能看到命名空间中所有的版本,并能修改和删除它们。

权限可以按照RLS粒度进行管理,人们可能会对表的不同列的访问限制感兴趣:

key

type

body

name

namespace

version

status

owner

createdAt

modifiedAt


仅用于本人学习

来源:Helm | Docs

相关推荐
魏 无羡7 小时前
linux CentOS系统上卸载docker
linux·kubernetes·centos
Karoku0667 小时前
【k8s集群应用】kubeadm1.20高可用部署(3master)
运维·docker·云原生·容器·kubernetes
凌虚9 小时前
Kubernetes APF(API 优先级和公平调度)简介
后端·程序员·kubernetes
探索云原生12 小时前
在 K8S 中创建 Pod 是如何使用到 GPU 的: nvidia device plugin 源码分析
ai·云原生·kubernetes·go·gpu
启明真纳12 小时前
elasticache备份
运维·elasticsearch·云原生·kubernetes
橙子家13 小时前
关于 K8s 的一些基础概念整理-补充【k8s系列之五】
k8s
jwolf214 小时前
基于K8S的微服务:一、服务发现,负载均衡测试(附calico网络问题解决)
微服务·kubernetes·服务发现
nangonghen14 小时前
在华为云通过operator部署Doris v2.1集群
kubernetes·华为云·doris·operator
会飞的土拨鼠呀16 小时前
chart文件结构
运维·云原生·kubernetes
自在的LEE19 小时前
当 Go 遇上 Windows:15.625ms 的时间更新困局
后端·kubernetes·go