审计注解

该页面作为 kubernetes.io 名字空间的审计注解的参考。这些注解适用于 API 组 audit.k8s.io 中的 Event 对象。

pod-security.kubernetes.io/exempt

例子：pod-security.kubernetes.io/exempt: namespace

值必须是对应于 Pod 安全豁免维度的 user、namespace 或 runtimeClass 之一。 此注解指示 PodSecurity 基于哪个维度的强制豁免执行。

pod-security.kubernetes.io/enforce-policy

例子：pod-security.kubernetes.io/enforce-policy: restricted:latest

值必须是对应于 Pod 安全标准 级别的 privileged:<版本>、baseline:<版本>、restricted:<版本>， 关联的版本必须是 latest 或格式为 v<MAJOR>.<MINOR> 的有效 Kubernetes 版本。 此注解通知有关在 PodSecurity 准入期间允许或拒绝 Pod 的执行级别。

有关详细信息，请参阅 Pod 安全标准。

pod-security.kubernetes.io/audit-violations

例子：pod-security.kubernetes.io/audit-violations: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "example" must set securityContext.allowPrivilegeEscalation=false), ...

注解值给出审计策略违规的详细说明，它包含所违反的 Pod 安全标准级别以及 PodSecurity 执行中违反的特定策略及对应字段。

有关详细信息，请参阅 Pod 安全标准。

authorization.k8s.io/decision

例子：authorization.k8s.io/decision: "forbid"

此注解在 Kubernetes 审计日志中表示请求是否获得授权。

有关详细信息，请参阅审计。

authorization.k8s.io/reason

例子：authorization.k8s.io/reason: "Human-readable reason for the decision"

此注解给出了 Kubernetes 审计日志中 decision 的原因。

有关详细信息，请参阅审计。