You are viewing documentation for Kubernetes version: v1.23
Kubernetes v1.23 documentation is no longer actively maintained. The version you are currently viewing is a static snapshot. For up-to-date documentation, see the latest version.
审计注解
该页面作为 kubernetes.io 名字空间的审计注解的参考。这些注解适用于 API 组 audit.k8s.io
中的 Event
对象。
audit.k8s.io
中的 Event
写入。
注解适用于审计事件。审计事件不同于事件 API
(API 组 events.k8s.io
)中的对象。
pod-security.kubernetes.io/exempt
例子:pod-security.kubernetes.io/exempt: namespace
值必须是对应于 Pod 安全豁免维度的
user
、namespace
或 runtimeClass
之一。
此注解指示 PodSecurity 基于哪个维度的强制豁免执行。
pod-security.kubernetes.io/enforce-policy
例子:pod-security.kubernetes.io/enforce-policy: restricted:latest
值必须是对应于 Pod 安全标准 级别的
privileged:<版本>
、baseline:<版本>
、restricted:<版本>
,
关联的版本必须是 latest
或格式为 v<MAJOR>.<MINOR>
的有效 Kubernetes 版本。
此注解通知有关在 PodSecurity 准入期间允许或拒绝 Pod 的执行级别。
有关详细信息,请参阅 Pod 安全标准。
pod-security.kubernetes.io/audit-violations
例子:pod-security.kubernetes.io/audit-violations: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "example" must set securityContext.allowPrivilegeEscalation=false), ...
注解值给出审计策略违规的详细说明,它包含所违反的 Pod 安全标准级别以及 PodSecurity 执行中违反的特定策略及对应字段。
有关详细信息,请参阅 Pod 安全标准。
authorization.k8s.io/decision
例子:authorization.k8s.io/decision: "forbid"
此注解在 Kubernetes 审计日志中表示请求是否获得授权。
有关详细信息,请参阅审计。
authorization.k8s.io/reason
例子:authorization.k8s.io/reason: "Human-readable reason for the decision"
此注解给出了 Kubernetes 审计日志中 decision 的原因。
有关详细信息,请参阅审计。