Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Scanner d’audit - Limitations

Types d’événements pris en charge

Les stratégies peuvent inspecter les événements CREATE, UPDATE et DELETE.

Le scanner d’audit ne peut pas simuler les événements UPDATE, car il ne sait pas quelle partie de la ressource nécessite une modification.

Ainsi, le scanner d’audit ignore une stratégie concernée uniquement par les événements UPDATE.

La version 1.7.0 du scanner d’audit ne prend en charge que les événements CREATE. La gestion des événements DELETE arrive bientôt.

Stratégies s’appuyant sur des informations utilisateur et groupe d’utilisateurs

Chaque objet de demande d’admission Kubernetes contient des informations sur l’utilisateur (ou ServiceAccount) qui a initié l’événement, ainsi que sur le groupe auquel il appartient.

Tous les événements simulés par le scanner d’audit proviennent du même utilisateur et groupe codés en dur. À cause de cela, les politiques qui s’appuient sur ces valeurs pour prendre leurs décisions ne produiront pas de résultats significatifs.

Pour ces cas, configurez la stratégie comme non auditable.

Politiques s’appuyant sur des données externes

Les politiques peuvent demander et utiliser des données externes lors de l’évaluation. Vous pouvez évaluer ces stratégies avec les vérifications d’audit, mais leurs résultats peuvent changer en fonction des données externes.

Utilisation de * par les stratégies

Les ressources personnalisées AdmissionPolicy et ClusterAdmissionPolicy ont les champs suivants :

spec:
  rules:
    - apiGroups: [""]
      apiVersions: ["v1"]
      resources: ["pods"]
      operations:
        - CREATE
        - UPDATE

Les attributs apiGroups, apiVersions et resources peuvent utiliser le caractère générique . Ce symbole de caractère générique fait en sorte que la stratégie corresponde à toutes les valeurs utilisées dans le champ. Le scanner d’audit ignore les stratégies qui utilisent le symbole .