Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Esta es documentación inédita para Admission Controller 1.34-dev.

Escáner de Auditoría - Limitaciones

Tipos de eventos soportados

Las directivas pueden inspeccionar CREATE, UPDATE y DELETE eventos.

El escáner de auditoría no puede simular eventos de UPDATE, ya que no sabe qué parte del recurso requiere cambios.

Por lo tanto, el escáner de auditoría ignora una directiva que solo se ocupa de eventos de UPDATE.

La versión 1.7.0 del escáner de auditoría solo soporta eventos de CREATE. El manejo de eventos de DELETE llegará pronto.

Directivas que dependen de la información del usuario y del grupo de usuario

Cada objeto de solicitud de admisión de Kubernetes tiene información sobre qué usuario (o ServiceAccount) inició el evento y a qué grupo pertenece.

Todos los eventos simulados por el escáner de auditoría provienen del mismo usuario y grupo codificados de forma fija. Debido a eso, las directivas que dependen de estos valores para tomar sus decisiones no producirán resultados significativos.

Para estos casos, configura la directiva como no auditable.

Directivas que dependen de datos externos

Las directivas pueden solicitar y usar datos externos al realizar una evaluación. Puedes evaluar estas directivas con las comprobaciones de auditoría, pero sus resultados pueden cambiar dependiendo de los datos externos.

Uso de * por directivas

Tanto los recursos personalizados AdmissionPolicy como ClusterAdmissionPolicy tienen los siguientes campos:

spec:
  rules:
    - apiGroups: [""]
      apiVersions: ["v1"]
      resources: ["pods"]
      operations:
        - CREATE
        - UPDATE

Los atributos apiGroups, apiVersions y resources pueden utilizar el comodín . Este símbolo de comodín hace que la directiva coincida con todos los valores utilizados en el campo. El escáner de auditoría ignora las directivas que utilizan el símbolo .