SCCの可用性

これまで、このラーニング パスでは、主要なセキュリティ コンテキスト制約 (SCC) とその権限、および定義済み SCC とカスタム SCC の違いについて説明してきました。この記事では、管理者がSCCを配備で使用できるようにする方法について説明します。重要なリソースは サービスアカウント で、これには SCC を (直接またはロールやグループを介して間接的に) 割り当てることができます。SCC が割り当てられると、配置はそのサービス アカウントを簡単に指定して SCC にアクセスできるようになります。

ロールベースアクセスコントロール(RBAC)

サービスアカウントは、Red Hat OpenShift クラスタのロールベースのアクセス制御 (RBAC) を使用して構成されるリソースタイプの 1 つです。このセクションでは、ユーザーアカウントやサービスアカウント、ロールやバインディングなどのRBACリソースとその仕組み、および管理者がそれらを使用してパーミッションやアクセスを管理する方法について、すでに理解していることを前提としています。参考までに、OpenShift のドキュメントのこれらのページを参照してください。

• Using RBAC to define and apply permissions
• Understanding and creating service accounts

RBACオブジェクトのスコープについて、いくつかの留意点があります。

• ユーザーアカウントは、クラスタ全体に適用されます。
• 例えば、各プロジェクトにはそれぞれデフォルトのサービスアカウントがあります。
• ロールには、プロジェクトに限定されたローカルロール（Role）と、クラスタに限定されたクラスタロール（ClusterRole）があります。
• SCCはクラスタに対してグローバルな役割を果たします。

SCCはクラスタ全体に適用されます。クラスタ全体のRBACオブジェクトを作成するには、ユーザがクラスタ管理者である必要があります。各プロジェクトの管理者（クラスタ管理者を含む）は、プロジェクトレベルのRBACオブジェクトを作成します。

サービスアカウント

サービスアカウント_は、クラスタで動作するコンポーネントがクラスタのAPIに直接アクセスできるようにするものです。これはユーザーアカウントに似ていますが、単一のプロジェクトにスコープされ、通常のユーザーの認証情報を共有する必要はありません。配置はサービスアカウントを介してSCCにアクセスするため、どのユーザが配置したかに関わらずSCCへのアクセスが可能になります。

各サービスアカウントのユーザ名は、そのプロジェクトと名前に由来します。