Доступ к объектам в кластере осуществляется на основе системы распределения ролей (англ. Role-based access control, RBAC). В API RBAC выделяются следующие типы объектов Kubernetes:
Role – манифест с набором прав на объекты кластера Kubernetes в формате .YAML. Role описывает права в пространстве имен, поэтому при создании этого объекта необходимо определить пространство имен, к которому открыт доступ.
ClusterRole – объект кластера, который описывает права на объекты в кластере. ClusterRole используется для предоставления доступа к определенным или всем пространством имен, ресурсам кластера (например, узлам) и пространств имен (например, подам). В том числе роли admin, edit и view — описывающие права, разрешающие администрирование, редактирование или только просмотр сущностей. Посмотреть роль можно в своём кластере, если у вас есть права администратора, командой
ServiceAccount – объект, который с помощью автоматически генерируемого токена ограничивает права ПО в кластере.
RoleBinding – объект, предоставляющий доступ к тем объектам, которые находятся в одном с RoleBinding пространстве имен.
ClusterRoleBinding – объект, предоставляющий доступ к объектам во всех пространствах имен кластера.
Kaspersky Security для контейнеров дает возможность получить подробную информацию о действиях в отношении объектов RBAC определенного кластера. Решение позволяет осуществлять следующее:
Просматривать информацию о создании, изменении и удалении объектов RBAC.
Просматривать манифесты объектов RBAC в формате .YAML до и после изменения.
Скачивать манифесты объектов RBAC в формате .YAML до и после изменения.