我在GKE上运行Kubernetes应用程序。在GCP IAM控制台中,我可以看到几个内置角色,例如Kubernetes Engine Admin。每个角色都有一个ID和与之关联的权限-例如,Kubernetes Engine Admin具有ID roles/container.admin和大约300个权限,每个权限都类似于container.apiServices.create。 在kubernetes集群中,我可以运行: kubectl get clusterrole | grep -v system: # exclude system roles 这将返回以下内容: NAME
浏览 35提问于2019-03-23得票数 0
我正在运行一个命令,根据某些条件导出特定用户的邮箱。
我登录的帐户已经具有角色Mailbox导入
命令-
New-MailboxExportRequest
-Mailbox NSS
-ContentFilter {(Sender -eq '@dd.com')}
-FilePath \\E1\Export\NSS.pst
我成功地为许多用户导出了邮箱,但是当我试图为这个特定的用户导出邮箱时,我会得到以下错误-
‘domain.local/domain/Users/SUser/N’不在您当前的写入范围内。无法执行保存操作。+ CategoryInfo : InvalidArgu
浏览 0提问于2018-11-30得票数 0
我有一个受Azure保护的Web。我为Web创建了一个应用程序注册,它只允许Azure AD的用户访问API (即单个租户)。此过程还在该租户中创建了一个服务主体。
我想知道的是,这个服务主体是否可以在信任此Azure AD的Azure订阅中自我分配RBAC角色(任何RBAC角色)?或者,这是否是用户发起的操作,其中具有适当权限的用户(如Owner或User Access Administrator)必须为该服务主体分配适当的角色?
根据我的理解,我相信这是后者(也就是说,另一个用户必须执行此操作)。不过,看起来应该是可能的。
我之所以这么说,是因为当我创建一个新的Azure订阅时,会自动在A
浏览 0提问于2021-05-17得票数 0
回答已采纳
我需要管理一些powershell命令不能工作的Exchange (比如New-Mailbox)。“拆分权限”似乎在安装中处于活动状态,但我不确定。
如何检查拆分权限是否处于活动状态?
浏览 0提问于2019-09-20得票数 1
我试图让我的队友访问保存在Azure存储文件上的备份。
我给了他一个资源组的Reader和一个文件共享资源的Storage File Data SMB Share Reader。他的访问被拒绝(执行listKey操作)。我错过了什么?
(当我给Contributor时,它是有效的,但这当然是非常有效的。)
📷
📷
浏览 0提问于2019-08-22得票数 0
1回答
所有可用的Synapse角色都对数据库和Lake具有删除和创建权限。是否可以自定义可用角色以仅使用权限以下的权限,或者可以为该权限创建自定义角色?
工作区/读
工作区/工件/读取
工作区/bigDataPools/useCompute/action
工作区/bigDataPools/viewLogs/action
工作区/笔记本/视图输出/操作
工作区/工件/读取
工作区/记事本/写、删除
工作区/火花sparkJobDefinitions/写
工作区/sqlScripts/写
浏览 6提问于2022-07-04得票数 0
2回答
我们订阅了一些重要的资源(VM,网络接口,.)那里。一位来自外包公司的新工程师加入我们,他将需要管理资源作为他工作的一部分(创建/更新/删除新的VM,.)。
我们希望以这样一种方式来组织访问:我们可以完全访问他创建的资源,他可以完全访问他创建的资源,但是他不能访问我们创建的资源。
有可能吗?
浏览 0提问于2018-04-10得票数 0
回答已采纳
1回答
Acl与RBAC在ZF2中的比较
、、、、
我想在我的应用程序中包含一个访问控制组件,我看到了ZF2提供的:Zend /permissions/Acl和Zend /permissions/RBAC,我想知道哪个更高效和更安全,Zfc-RBAC呢?谢谢你。
浏览 7提问于2014-10-14得票数 1
回答已采纳
1回答
两者的好处是什么,我什么时候应该选择一个而另一个呢?是否有需要合并的情况?
你有常见用法的例子吗?
那么MAC呢,这在哪里适用呢?
浏览 0提问于2010-11-14得票数 77
回答已采纳
2回答
在阅读了并看到了人们构建授权/访问控制的方式之后,这个问题浮现在我的脑海中:“为什么我们在检查用户是否被允许执行X操作时,而不是检查他们的权限?”
这就是我所理解的,用户有角色,角色有权限,这就是用户可以拥有权限的方式(用户不能显式地拥有分配给它的权限,它通过拥有角色获得权限)
我认为在处理添加用户的请求时检查像"AddUser“这样的权限是有意义的,但是在.Net库中,以及在RBAC中的许多例子中,我们看到它们检查角色。就像他们检查用户是否处于管理员的角色一样,而不是检查他/她是否拥有"AddUser“权限。
为什么?检查权限对我来说更有意义。
有人能在这里照亮我吗?
谢谢
浏览 2提问于2014-01-07得票数 4
回答已采纳
我在IBM Bluemix上的用户帐户下创建了一个kubernetes集群,并将另一个添加到我的组织中。但他看不到我的星团。是否有其他配置?
浏览 6提问于2017-09-04得票数 0
你好,这可能是一个愚蠢的问题,但我真的很困惑的ACL,RBAC,DAC,MAC.
以具有以下用户类型的在线大学管理系统为例:
管理员
霍德
教职员
学生
他们每个人都有不同的访问权限。
有人能让我明白在ACL中将使用什么吗?RBAC?DAC?麦克?为什么它会比其他人更可取呢?我搜索了很多,但不知道如何决定哪种授权技术最适合上述情况.
浏览 5提问于2015-08-11得票数 17
我为我的系统创建了一个权限,通过这个扩展,其他人可以正常工作。例如,我为Page模块设置了权限,然后使用了下面的代码
if(\Yii::$app->user->can('page_module')){}else{
throw new ForbiddenHttpException("You are not authorized to perform this action.", 403);
}
它为我提供了限制。我在扩展控制器中使用了这些行pf代码,然后它限制了扩展,但是它容易受到攻击,因为如果我更新扩展,那么代码就会被删
浏览 4提问于2017-10-19得票数 1
在我的Startup.cs中,我按如下方式添加密钥库客户端:
services.AddAzureClients(s =>
{
var keyVaultUri = new Uri(Configuration["KeyVault:Uri"]);
s.AddCertificateClient(keyVaultUri);
s.AddSecretClient(keyVaultUri);
s.UseCreden
浏览 20提问于2021-02-25得票数 0
2回答
我正试图在我的K8S集群上安装Prometheus
当我运行命令
kubectl get namespaces
我得到了以下名称空间:
default Active 26h
kube-public Active 26h
kube-system Active 26h
monitoring Active 153m
prod Active 5h49m
现在我想创造普罗米修斯
helm install stable/prometheus --name prom -f k8s-values.yml
我得到了错误:
错误:发布prom-演示
浏览 1提问于2019-02-04得票数 4
回答已采纳
我一直在开发一个基于网络的信息系统,它具有用户管理功能。
例如,我希望“管理员用户”能够访问我创建的所有功能(添加学生信息、编辑学生信息等)。我希望“客户端用户”只访问检索功能(检索学生信息等)。
现在,我想到了关于如何实现这个问题的两个解决方案。它要么为不同的用户执行2个HTML文件,要么在的帮助下根据用户的类型动态加载HTML元素的1HTML文件。
下面是一个场景,用户将首先浏览登录页面。然后,通过使用,系统将确定用户是管理员还是客户端。在此之后,用户现在将继续到基于他的用户类型动态加载该页面的页面。
现在,我被困在这两种解决方案之间的选择上。有谁能启发我选择哪一个?提前谢谢!:D
注:
浏览 0提问于2018-07-18得票数 1
回答已采纳
2回答
我是yii2的初学者,我想按照建议创建两个具有不同功能的用户。你能给我举个例子,说明如何创建两种类型的用户吗?非常感谢
浏览 4提问于2016-10-06得票数 0
回答已采纳
据我所知,您可以在订阅级别上分配“贡献者”RBAC角色,以授予用户创建资源组的权限。
但是,是否有办法通过AAD (管理员角色分配)授予该权限?或者其他方法?
我目前无法创建资源组,需要请求获得许可。我正在努力了解可以采取的各种方法。(特别是因为除了‘经典管理员’之外,订阅中根本没有RBAC角色,但我看到一些资源组已经创建并由非经典管理员拥有)。
浏览 0提问于2019-02-28得票数 1
回答已采纳
1回答
基础设施工程师RBAC
、、、、
我觉得这是一个相当基本的问题,但不知怎么我找不到一个好的答案。
最近,审计人员抱怨我们的云设置基于角色的访问控制。我的团队负责云基础设施(也就是云工程、站点可靠性工程或DevOps),所以我们基本上拥有所有的权利。就我个人而言,我认为这是合理的,因为我们负责设置一切,并在必要时再次删除它。我们是湿婆。
但我也明白这是个问题,尤其是因为我们可以看到所有的数据库、桶等等。所以我想要的是一个能够创建和删除数据库的访问级别(比如“维护者”),而不是查看它们。
这是否存在,又叫什么?如果没有,这通常是如何解决的呢?
浏览 3提问于2022-06-01得票数 1
1回答
如何将访问权限委托给用户/组,以便他们能够在Exchange 2010中管理移动电话?
我希望用户/组能够预先在电话上形成远程擦拭,并提供重置PIN。
管理移动电话
浏览 0提问于2018-06-20得票数 0
2回答
我作为全球管理员被添加到公司的Azure AD目录中。当我尝试创建一个新的web应用程序时,我会得到以下消息:
您当前已签名到“-company-(默认目录)”目录,该目录没有任何订阅。您可以切换到其他目录,也可以注册新订阅。
当我尝试注册一个新的订阅,它希望我输入我的支付信息,这是我不想做的。我想使用公司现有的订阅。
我也看不到刚才在门户中创建的应用程序服务。
看起来我还没有完全配置好,但是我们认为添加我作为应该给我他所拥有的,这正是我们想要的。我们还需要做什么才能获得相同的访问权限,并且能够看到彼此的项目?
浏览 6提问于2016-12-31得票数 0
回答已采纳
我对kubernetes仪表板安装有异议,感谢您的评论和解决方案。
错误:无法解码"":没有为“rbac.Authization.k8s.io/v1”无法解码“”的版本注册任何种类的“角色”:没有为“rbac.Authization.k8s.io/v1”版本“rbac.Authizationk8s.io/v1”注册"RoleBinding“的版本:”app/v1beta 2“没有注册任何类型的”部署“。
kubectl版本客户端版本:version.Info{Minor:“1”,小调:“5”,GitVersion:"v1.5.2",GitTreeStat
浏览 5提问于2018-01-09得票数 1
回答已采纳
2回答
Azure RBAC角色和服务主体之间的关系是什么?
它们是相同的还是Azure RBAC角色是帐户的属性,可以通过不同的RBAC角色创建不同的服务主体?
Azure RBAC角色与角色分配中的角色之间有什么关系?
(例如,Azure RBAC所有者角色可以创建虚拟机管理员登录角色,为什么它们都是调用角色!令人费解)
浏览 1提问于2019-11-11得票数 1
回答已采纳
1回答
我通过控制台创建了一个集群(eks.3),然后使用aws eks update-config生成kubeconfig配置。我立即可以通过kubectl访问集群,但是EKS用户指南谈到aws身份验证器,好像它是必需的。还需要这个吗?如果不是,在集群创建之后,身份验证是如何进行的?
浏览 0提问于2020-11-24得票数 0
回答已采纳
我曾经尝试过使用仪表板,它可以工作。然后我尝试使用静态密码文件登录仪表板。
我将--基本--auth-file=添加到/etc/kubernetes/manifests/kube-apiserver.yaml,--身份验证--模式=基本到仪表板;然后重新启动kubelet。
passowrd文件的内容如下所示:
admin123,admin,admin
当我以admin/admin身份登录仪表板时,没有通用信息,但显示了大量错误消息:
persistentvolumeclaims is forbidden: User "admin" cannot list persistent
浏览 0提问于2018-05-18得票数 0
回答已采纳
2回答
我最常看到的是基于角色的访问控制(RBAC),它需要权限才能执行操作。主体被分配了授予其权限的角色。
我最近遇到了一个授权库,它没有单独的权限和角色概念。主体仍然被授予角色,但是授权检查是直接在角色上完成的,并且没有权限的概念。我担心这种设计有缺点,因为我很少看到它。以这种方式组合角色和权限可能会出现什么问题?在这个系统中,哪些事情更难?
浏览 0提问于2015-11-15得票数 2
我试过阅读关于Azure用户和角色的不同指南和文档,但是没有任何东西看起来像AWS上的IAM。
在哪里,可以限制用户只使用Azure控制台/门户中的特定服务?
有人能给我提供一个链接到相关的文档或描述为一种方式来做(如果它是可能的)?
顺便说一句谢谢大家的时间。
浏览 3提问于2020-02-17得票数 0
回答已采纳
我正试图为blob生成一个SAS令牌,以便任何具有该令牌的用户都可以读取blob。下面是我的代码。当我试着读blob的时候,我得到了一个例外。如果我授予用户“”访问权限,那么它就能工作。我的理解是,使用SAS令牌的用户应该能够在不授予特定权限的情况下读取blob。我在这里错过了什么?
BlobServiceClient blobServiceClient = new BlobServiceClient(new Uri("https://accountname.blob.core.windows.net/"), new DefaultAzureCreden
浏览 9提问于2022-10-10得票数 0
回答已采纳
我正在尝试从couchbase集群中获取单个文档。但是,N1QL在群集中处于禁用状态。 我想知道是否有任何方法可以在不使用N1QL查询的情况下从存储桶中获取文档。我也不知道文档ID。 我只需要一个从整个存储桶中获取随机文档(可以是任何文档)的选项,而不使用文档ID或N1QL查询。 JAVA SDK api中有没有什么方法可以让我这样做呢?我使用的是2.7版本,但是任何可以做到这一点的版本都可以提供帮助。
浏览 25提问于2021-08-09得票数 1
我部署了带有3个主节点和2个工作节点的HA K8s集群。我通过kubectl客户机(本地),kubectl代理访问我的K8s仪表板。一些RBAC用户通过令牌访问我的K8s仪表板,在这些令牌中,他们对名称空间和集群管理用户的访问权限有限。我想让我的所有用户匿名访问查看部署日志,即Kibana仪表板(外接程序)。有人能帮我吗?
下面,我指定了运行在集群上的所需工件及其版本:
K8s版本: 1.8.0
基巴尼: 5.6.4
elasticsearch-日志记录: 5.6.4
浏览 0提问于2018-08-10得票数 0
1回答
我试图使用kuberentes服务中的C#码头访问Kubernetes服务。
我有一个python文件,并希望通过编程方式从运行在同一个python集群中的c# Dotnet核心对接器中使用相同的YAML创建结束符。我为dotnet核心找到了Kubernetes api,我创建了下面的列表荚代码。
using System;
using k8s;
namespace simple
{
internal class PodList
{
private static void Main(string[] args)
{
va
浏览 3提问于2020-08-03得票数 0
回答已采纳
1回答
我正在使用Yii2 basic。
我有Employee表,并将Employee模型分配给用户应用程序组件,在配置文件中如下所示:
'user' => [
'identityClass' => 'app\models\Employee',
'enableSession' => true,
],
我还使用RBAC为员工创建了权限、角色和指定的角色。
1.现在当他的角色是管理员登录时,他可以看到admin侧边栏上的foll菜单:
马斯特斯
员工
浏览 4提问于2017-09-12得票数 0
我正试图用头盔安装洛基
$ helm upgrade --install loki grafana/loki-stack
我得到了以下错误消息:
Release "loki" does not exist. Installing it now.
Error: rendered manifests contain a resource that already exists. Unable to continue with install: could not get information about the resource: podsecuritypolicies.pol
浏览 6提问于2021-12-20得票数 2
回答已采纳
1回答
实现了基于spring安全框架的安全解决方案,特别是其acl模块。
应用程序中有数以百万计的域对象和数百个用户。
使用Security模块,acl_sid和其他相关表中的条目将增长到10%,这将影响应用程序的性能。
想知道处理这种情况的最佳做法。
是否有其他有效处理类似情况的安全框架。
浏览 2提问于2015-11-25得票数 11
1回答
我正在尝试使用RBAC来允许其他开发人员在Azure中部署容器,而无需给予完全的管理员权限。我试着以读者和贡献者的身份添加,似乎不起作用。还有没有其他人实现了这一点/还有其他想法?
浏览 0提问于2019-04-12得票数 0
我的Azure有一个问题。我创建了构建管道,现在我想设置关联管道。我选择了部署应用程序服务,哪里是我的应用程序服务的分区和资源组。在Azure的下垂中,我选择了我的subsription,它是列出的..但我需要授权我自己。然后单击“授权”,得到此错误。
Error(s):
Service connection creation operation failed
Error: Service connection with name Microsoft Partner Network (subscription number) already exists. Only a user having
浏览 8提问于2022-11-08得票数 0
我有一个Azure订阅,用户需要在资源组级别获得访问权限,以便他们能够创建新的资源。但是,我需要限制他们可以执行的操作。他们需要能够在资源组中创建VM,但不能创建vNets。(我们试图完成的是限制它们创建vNets,以防止创建环境中的新入口点)。
允许在资源组级别授予权限以执行“安全”操作(创建VM)但限制“不安全”操作(创建vNet w公共IP)的最佳方法是什么?
谢谢!
浏览 0提问于2018-03-27得票数 0
Kubernetes 可用于在特定的名称空间中向主题授予权限。云IAM也能做到这一点吗?
浏览 1提问于2018-10-17得票数 0
回答已采纳
我正在寻找一个选项,让serviceaccount (它不是集群管理员)能够创建新的命名空间并自动获得管理权限(而所有的系统名称空间都不能被这个serviceaccount编辑)。
当前,我的服务帐户绑定到集群角色包含
- apiGroups:
- ""
resources:
- namespaces
verbs:
- create
但是,它不能对它创建的名称空间执行任何操作。想得到任何意见,建议。
浏览 4提问于2019-12-18得票数 2
回答已采纳
我对Azure资源街区有疑问。通过向资源添加只读或非删除锁,当您单击delete时,无法删除它。所以我的问题是,那个锁能被主人拿走吗?是否有可能使它不可能拆除锁,即使是对业主?
浏览 5提问于2022-05-05得票数 0
回答已采纳
我设置了Kubernetes Cluster,其中包含一个主节点和一个工作节点。Kubectl cluster-info显示kubernetes-master和kube-dns运行成功。 我正在尝试访问下面的URL,因为它是我的组织内部的,所以外部世界看不到下面的URL。 https://10.118.3.22:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy 但是当我访问它的时候,我得到了下面的错误- {
"kind": "Status",
"apiVersion&#
浏览 29提问于2019-01-12得票数 3
1回答
执行helm install -f values.yaml xxx-xxx-Agent xxxx-repo/xxx-agent --namespace xxxxx-dev时出现以下错误
'''
Error: rendered manifests contain a resource that already exists. Unable to continue with install: could not get information about the resource: secrets "azpsecretxxx" is forbidden: U
浏览 2提问于2021-05-20得票数 0
回答已采纳
我正在使用来自EC2实例的terraform来设置AWS集群。基本上,设置包括EC2启动配置和工作节点的自动标度。在创建集群之后,我可以使用aws身份验证器配置kubectl。当我做的时候
kubectl get nodes
它回来了
找不到资源
因为工作节点没有被连接。所以我试着更新aws-auth-cm.yaml文件
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: kube-system
data:
mapRoles: |
- rolearn:
username: sy
浏览 0提问于2019-06-10得票数 1
我们的集群中有多个名称空间。管理员可以通过ClusterRole访问所有的命名空间。但是,用户将被授予访问相应名称空间的权限。
假设用户A被授予访问名称空间B、C和D的权限。
因此,用户A使用服务帐户和RoleBinding在命名空间B中部署仪表板。用户将能够看到名称空间B中的所有应用程序。但是,我们如何授予对此仪表板的访问权限,以便一个仪表板列出3个名称空间以查看相应的应用程序?
浏览 0提问于2018-06-17得票数 1
1回答
我正在为客户开发Azure环境,我的帐户被设置为“贡献者”。
不知何故,我不能在控制台中使用Azure构建,我需要创建一个存储帐户,但是当我这样做或使用现有的帐户时,我会得到错误:“存储创建失败。错误: 403没有执行操作'Microsoft.Resources/subscriptions/resourcegroups/read'”的授权。
然后我尝试使用无服务器部署,但是我再次面临错误:“没有执行操作'Microsoft.Authorization/roleAssignments/write'”的授权。
我的问题是:
我需要哪些权限来使用控
浏览 0提问于2019-02-18得票数 0
我试图使用Node中的对Azure 进行身份验证,以获得Azure管理服务的报告。
我做过的事:
从Azure门户创建API管理服务
使用Azure注册应用程序,并使用文档创建服务主体。
我已经正确地配置了环境变量以使用DefaultAzureCredential,正如文档中提到的那样。
AZURE_TENANT_ID,AZURE_CLIENT_ID,AZURE_CLIENT_SECRET,AZURE_SUBSCRIPTION,
但是身份验证失败了,我无法生成凭据。当我安慰new DefaultAzureCredential();的反应时,它说Unavail
浏览 1提问于2021-10-05得票数 0
回答已采纳
1回答
假设我正在构建一个像堆栈溢出一样的问答网站。我的网站有以下主要功能:
post :post可以是问答
配置文件:用户的个人配置文件
专用消息:存储用户的私有消息
……
我试图找出如何在我的系统中设计用户角色。我想出了:(每个用户只属于一个角色)
这样设计用户角色可以吗?如果没有,有人能给我一些建议吗?我使用的是MySQL,Struts 2。在Struts 2中,有没有基于角色的访问控制(RBAC)的雪崩库?
(我读过,但似乎没有解决我的问题)
浏览 2提问于2013-01-07得票数 2
回答已采纳
现在,我是YII的新手,我一直致力于认证和授权。我已经成功地完成了认证部分,现在我正在遵循YII RBAC。在这里我有点困惑。根据我可以使用的文档
if( Yii::app()->user->checkAccess('createIssue'))
若要检查用户是否具有createIssue操作的权限,请执行以下操作。根据我的理解,我可以在preFilter()中添加该操作,以便在执行操作之前检查访问情况。
我的问题是,如果我使用的是RBAC方法,我应该仍然在控制器的accessRules()功能中定义访问规则,还是应该只允许所有用户并检查单个操作在preFilter
浏览 14提问于2013-07-16得票数 3
回答已采纳
目前,我使用Azure创建了一个服务主体:
az ad sp create-for-rbac --name foo --role Contributor
我需要服务主体拥有足够的权限来创建/修改/删除各种Azure AD资源,包括应用程序、其他服务主体和服务主体密码。当我使用上面的服务主体创建其他服务主体时,我目前得到403个禁止错误。
我也尝试使用‘所有者’和‘用户访问管理员’角色,但这些仍然给我一个403错误。我需要向上面的Azure命令添加什么,或者需要添加哪些额外的角色分配?
我想在Pulumi程序中使用他们的Azure AD提供者(基于Terraform的Azure AD提供者)中的
浏览 6提问于2022-02-11得票数 7
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
