역할
역할(Role)은 특정 리소스에 대해 수행할 수 있는 작업(동사)을 정의하는 RBAC 리소스입니다. Role은 특정 네임스페이스 범위에서, ClusterRole은 클러스터 전체 범위에서 적용됩니다.
역할 목록
사이드바에서 보안 > 역할을 선택하면 현재 네임스페이스의 Role 목록이, 보안 > 클러스터 역할을 선택하면 클러스터 범위의 ClusterRole 목록이 표시됩니다.
목록에서 확인할 수 있는 정보는 다음과 같습니다.
- 이름: 역할의 고유 이름
- 네임스페이스: Role의 경우 소속 네임스페이스 (ClusterRole은 클러스터 범위)
- 생성 시간: 리소스가 생성된 시각
역할 상세 및 정책 규칙 뷰어
역할 상세 화면의 핵심은 정책 규칙(Policy Rules) 뷰어입니다. 각 규칙은 다음 세 가지 요소로 구성되며, 콘솔에서 테이블 형태로 표시됩니다.
- 리소스(Resources): 규칙이 적용되는 Kubernetes 리소스 타입입니다. 예를 들어
pods,services,deployments등이 있습니다. 와일드카드(*)는 모든 리소스를 의미합니다. - 동사(Verbs): 허용되는 작업의 종류입니다.
get,list,watch,create,update,patch,delete등이 있으며,*는 모든 동사를 의미합니다. - API 그룹(API Groups): 리소스가 속한 API 그룹입니다. 코어 리소스는 빈 문자열(
"")이며,apps,batch,networking.k8s.io등의 확장 그룹이 있습니다.
추가적으로 다음 요소도 확인할 수 있습니다.
- 리소스 이름(Resource Names): 특정 이름의 리소스로 범위를 제한할 때 사용합니다.
- 비리소스 URL(Non-Resource URLs): ClusterRole에서
/healthz,/metrics등 리소스가 아닌 URL 경로에 대한 접근을 제어합니다.
역할 생성 및 편집
역할을 생성하거나 편집할 때는 YAML 편집기를 통해 정책 규칙을 정의합니다. 각 규칙에서 허용할 리소스, 동사, API 그룹을 명시해야 합니다.