3.2 RBAC

Question 1

Como se administran los cluster-roles

Answer 1

oc adm policy

add-cluster-role-to-user
remove-cluster-role-from-user
who can

Question 2

Cuales son los Roles de default

Answer 2

admin
basic-user
cluster-admin
cluster-status
edit
self-provisioner
view

Question 3

Como se crea una alternativa para los roles de default (modo correcto de uso)

Answer 3

Export role

Import role con otro usuario

Question 4

Explica todos los roles

Answer 4

admin puede manejar todos los proyectos y dar acceso
basic-user read project
cluster-admin súper user access to cluster resources full control to projects
cluster-status get cluster status
edit manejar aplicaciones pero no manejar recursos
self-provisioner crear proyectos - cluster role/not a project role
view can view project resources but can’t modify

Question 5

Como se quita un cluster role de un usuario

Answer 5

oc adm policy remove-cluster-role-from-user ROLE USER

Question 6

Como se válida que usuarios tiene permisos de eliminar

Answer 6

oc adm policy who-can delete user

Question 7

Como se que usuarios puede obtener que usuarios pueden obtener pods

Answer 7

oc adm policy whocan get pods

Question 8

Como se agrega el role basic-user al usuario test en el proyecto basic-project

Answer 8

oc policy add-role-to-user basic-user test -n basic-project

Question 9

Como se elimina un role de un usuario

Answer 9

oc policy remove-role-from-user role user

Question 10

Como se obtienen los cluster role bindings

Answer 10

oc get clusterrolebinding -o wide

Question 11

Como se elimina el permiso de crear projects de todos los usuarios quienes no sean cluster administrators

Answer 11

oc describe clusterrolebinding self-provisioners
oc adm policy remove-cluster-from-group self-provisioner system:authentication:oauth
Ejecutar de nuevo para validar que ya no esté

Question 12

Como se da el role de admin a leader

Answer 12

oc policy add-role-to-user admin leader

Question 13

Como se agrega un grupo llamado mygroup y como se asigna el usuario test a el

Answer 13

oc adm groups new mygroup
oc adm groups add-user mygroup test

Question 14

Como se asigna la política a grupo

Answer 14

oc policy groups add-role-to-group edit groupNAME

Question 15

Como se obtienen los role bindings

Answer 15

oc get role bindings -o wide

Question 16

Como se hace deploy de app httpd:2.4

Answer 16

oc new-app —name httpd httpd:2.4

Question 17

Como se agrega el Role Edit al grupo qa-engineer

Answer 17

oc policy add-role-to-group edit qa-engenieer

Question 18

Como se escala un aplicativo

Answer 18

oc scale deployment httpd —replicas=3

Question 19

Agregar system authentication de self-provider

Answer 19

oc adm policy add-cluster-role-to-group self-provider “system:authenticated:oauth”

Question 20

Como se quita del role self-provisioner de todos los usuario autenticados y asignar sólo a grupo managers

Answer 20

oc policy remove-cluster-role-from-group self-provisioner “system:authenticated:oauth”
oc policy add-cluster-role-to-group self-provisioner managers

Question 21

Como se agrega un usuario a un grupo

Answer 21

oc adm groups add-users GROUP USER

Question 22

Como agregar role edit a grupo developers

Answer 22

oc policy add-role-to-group edit developers

Question 23

Como se agrega el cluster role al usuario test

Answer 23

oc adm policy add-cluster-role-to-user cluster-role test

Question 24

Como eliminar el cluster role al usuario test

Answer 24

oc adm policy remove-cluster-role-from-user cluster-role test

Question 25

Como se puede obtener que usuarios tienen permiso para eliminar usuario

Answer 25

oc adm policy who-can delete user

Question 26

Como se recupera el cluster role self-provisioner con el nombre role binding self-provisioners al grupo system:authenticated:oauth

Answer 26

oc adm policy add-cluster-role-to-group \
> –rolebinding-name self-provisioners \
> self-provisioner system:authenticated:oauth
Warning: Group ‘system:authenticated:oauth’ not found
clusterrole.rbac.authorization.k8s.io/self-provisioner added: “system:authenticated:oauth”