授权是Kubernetes认证中的一个独立部分，参考认证部分的文档。

授权应用在主（安全）API服务端口的所有HTTP访问请求。

任何请求的授权检查都会通过访问策略比较该请求上下文的属性，（比如用户，资源和Namespace）。API的调用必须符合一些规则，按顺序执行。

下面的选项都是可行的，可通过标志位选择：

–authorization-mode=AlwaysDeny

–authorization-mode=AlwaysAllow

–authorization-mode=ABAC

AlwaysDeny会阻止所有的请求（测试中使用的）。AlwaysAllow允许所有请求，如果不需要授权，可以使用这个参数。ABAC（Attribute-Based Access Control）用于已经配置的用户授权规则。

ABAC模式

请求属性

一个授权请求可配置五个参数：

用户（用户是否是用户串）

组（用户所属组名的列表）

请求只读性(GETs是只读的)

资源权限

仅适用于API端点，例如/api/v1/namespaces/default/pods。对于杂端点（miscellaneous endpoints，翻译有待考虑），如/version，是空串。

可访问对象的Namespace，空串的Namespace，该空串端点不支持命名对象。

我们期望增加更多的属性，允许更细粒度的访问控制，并协助策略管理。

策略文件格式

ABAC模式，也可以指定参数：–authorization-policy-file=SOME_FILENAME该文件格式每行有一个JSON对象，不会有封闭列表或者映射，而仅仅每行有一个映射。

每行是一个“策略对象”。一个策略对象是包含以下属性的一个映射：

user， 字符型；来自–token-auth-file，如果指定用户，必须匹配认证用户的用户名。

group，字符型；如果指定用户组，必须匹配认证用户所属组的其中一个。

readonly，布尔型，true表示该策略仅适用于GET操作。

resource，字符型；一个资源来自一个URL，比如Pod。

namespace，字符型；一个Namespace字符串。

未设置的属性同类型设置为zero的属性（如，空串，0，false），含义是相同的。但是，没设置的属性首选是可读性。

在未来，策略可以展现在JSON格式中，并通过REST接口进行管理。

授权算法

一个请求属性和一个策略对象的属性是相关的。

一个请求被接受时，其属性是确定的。未知属性默认设置为0，如空串，0，false。

未设置的属性将匹配相应属性的任何值。

检查属性的元组在每一个策略文件中每个策略的匹配正确性。至少有一行匹配到该请求属性，则授权该请求（但之后的验证也许会失败）。

为了让每个用户都做些事情，编写一个策略用于用户未设置的属性。（To permit any user todo something, write a policy with the user property unset. To permit an action Policy with anunset namespace applies regardless of namespace. 翻译有待考虑）

示例

Alice能够做任何事情： {“user”:”alice”}

Kubelet能够读任何pods：{“user”:”kubelet”, “resource”: “pods”, “readonly”: true}

Kubelet能够读写事件：{“user”: “kubelet”, “resource”: “events”}

Bob只能在”projectCaribou”命名空间中读pods：{“user”:”bob”, “resource”: “pods”,”readonly”: true, “ns”: “projectCaribou”}

服务账户的快速标记

一个服务账户会自动生成一个用户。该用户的名字生成是根据如下命名规范：

创建一个新的Namespace，也会附带创建一个新的服务账户，格式如下：

例如，如果你想要在Kube系统授予API默认账户的所有权限，你需要在规则文件中添加如下一行：

重启apiserver使新添加的规则生效。

插件开发

其余实现的开发相对容易，API服务会调用Authorizer接口：

确认是否允许每一个API行为。

一个授权插件是实现该接口的一个模块。授权插件源码路径：

一个授权模块完全是用Go语言实现的，或者可以调用一个远程授权服务。授权模块有自己的缓存，减少对相同或相似参数重复授权的成本。开发人员应该考虑缓存和权限撤销之间的相互交互。