KalmRoles
This table defines which roles can access resources in which way and in which scope
| Application Viewer | Application Editor | Application Owner | Cluster Viewer | Cluster Editor | Cluster Owner | |
|---|---|---|---|---|---|---|
| view application | โ | โ | โ | โ | โ | โ |
| create aplication | โ | โ | ||||
| edit application | โ | โ | ||||
| delete application | โ | โ | ||||
| view component | โ | โ | โ | โ | โ | โ |
| create component | โ | โ | โ | โ | ||
| edit component | โ | โ | โ | โ | ||
| delete component | โ | โ | โ | โ | ||
| delete pod | โ | โ | โ | โ | ||
| view pod logs | โ | โ | โ | โ | โ | โ |
| exec in pod | โ | โ | โ | โ | ||
| view routes | โ(1) | โ(1) | โ(1) | โ | โ | โ |
| create route | โ(1) | โ(1) | โ | โ | ||
| update route | โ(1) | โ(1) | โ | โ | ||
| delete route | โ(1) | โ(1) | โ | โ | ||
| view services | โ | โ | โ | โ | โ | โ |
| view protected endpoint | โ | โ | โ | โ | โ | โ |
| create protected endpoint | โ | โ | โ | โ | ||
| edit protected endpoint | โ | โ | โ | โ | ||
| delete protected endpoint | โ | โ | โ | โ | ||
| view storage classes | โ | โ | โ | โ | โ | โ |
| view disks(pvc) | โ | โ | โ | โ | โ | โ |
| delete disk(pv) | โ | โ | ||||
| view https certs | โ | โ | โ | |||
| create/upload https certs | โ | โ | ||||
| edit uploaded https certs | โ | โ | ||||
| delete https certs | โ | โ | ||||
| view pvs | โ | โ | โ | |||
| view registries | โ | โ | โ | โ | โ | |
| create registry | โ | โ | ||||
| edit registry | โ | โ | ||||
| delete registry | โ | โ | ||||
| view nodes | โ | โ | โ | |||
| cordon nodes | โ | โ | ||||
| uncordon nodes | โ | โ | ||||
| view logging systems | โ | โ | โ | |||
| create logging system | โ | โ | ||||
| update logging system | โ | โ | ||||
| delete logging system | โ | โ | ||||
| view cluster info | โ(2) | โ(2) | โ(2) | โ | โ | โ |
| initialize cluster | โ | |||||
| reset cluster | โ | |||||
| view sso config | โ(3) | โ | โ | |||
| create sso config | โ | โ | ||||
| edit sso config | โ | โ | ||||
| delete sso config | โ | โ | ||||
| view access token | โ(4) | โ(4) | โ(4) | โ | ||
| create access token | โ(4) | โ(4) | โ(4) | โ | ||
| edit access token | โ(4) | โ(4) | โ(4) | โ | ||
| delete access token | โ(4) | โ(4) | โ(4) | โ | ||
| view users roles | โ | โ | โ | |||
| grant/revoke user roles | โ(5) | โ(5) | โ |
- HttpRoute targes can cross applications. A httpRoute is visible to a user only when the user has view permission for all targets. The same for edit permissions.
- Ingress IP and Ingress hostname are not visible by application roles.
- No api/secret informations
- A user can view/edit a access token only if the user's permissions is greater or equal than the access token.
- Cluster editor can grant/revoke application user roles, but not cluster level. Application owner can grant/revoke user roles under the same application.
note
If the user identity is valid, the list api will not return 401, but will hide all items that are not authorized. But other api will return 401 if the request resource is not authorized.
How to create role binding
Via dashboard
note
Working in progress
Via kubectl
note
Working in progress