この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

これは未公開の文書です Admission Controller 1.34-dev.

監査スキャナー - 制限事項

サポートされているイベントタイプ

ポリシーは CREATEUPDATE、および DELETE イベントを検査できます。

監査スキャナーは UPDATE イベントをシミュレートできません。リソースのどの部分を変更する必要があるかを知らないためです。

そのため、監査スキャナーは UPDATE イベントのみに関係するポリシーを無視します。

監査スキャナー v1.7.0 リリースは CREATE イベントのみをサポートしています。DELETE イベントの処理は近日中に対応予定です。

ユーザーおよびユーザーグループ情報に依存するポリシー

各 Kubernetes アドミッションリクエストオブジェクトには、イベントを開始したユーザー(または ServiceAccount)およびそのユーザーが属するグループに関する情報が含まれています。

監査スキャナーによってシミュレートされたすべてのイベントは、同じハードコードされたユーザーとグループから発生します。そのため、これらの値に依存して意思決定を行うポリシーは、意味のある結果を生成しません。

これらの場合は、ポリシーを監査対象外として構成してください。

外部データに依存するポリシー

ポリシーは評価を行う際に外部データを要求し、使用することができます。これらのポリシーは監査チェックで評価できますが、その結果は外部データによって変わる可能性があります。

ポリシーによる * の使用

`AdmissionPolicy`と`ClusterAdmissionPolicy`のカスタムリソースには、次のフィールドがあります:

spec:
  rules:
    - apiGroups: [""]
      apiVersions: ["v1"]
      resources: ["pods"]
      operations:
        - CREATE
        - UPDATE

apiGroupsapiVersions、および`resources`の属性は、ワイルドカード`を使用できます。このワイルドカード記号は、ポリシーがフィールドで使用されるすべての値に一致するようにします。監査スキャナーは、`記号を使用するポリシーを無視します。