--- api_metadata: apiVersion: "rbac.authorization.k8s.io/v1" import: "k8s.io/api/rbac/v1" kind: "ClusterRole" content_type: "api_reference" description: "ClusterRole 是一个集群级别的 PolicyRule 逻辑分组，可以被 RoleBinding 或 ClusterRoleBinding 作为一个单元引用。" title: "ClusterRole" weight: 5 --- `apiVersion: rbac.authorization.k8s.io/v1` `import "k8s.io/api/rbac/v1"` ## ClusterRole {#ClusterRole} ClusterRole 是一个集群级别的 PolicyRule 逻辑分组，可以被 RoleBinding 或 ClusterRoleBinding 作为一个单元引用。

- **apiVersion**: rbac.authorization.k8s.io/v1 - **kind**: ClusterRole - **metadata** (}}">ObjectMeta) 标准的对象元数据。 - **aggregationRule** (AggregationRule) `aggregationRule` 是一个可选字段，用于描述如何构建这个 ClusterRole 的 `rules`。如果设置了 `aggregationRule`，则 `rules` 将由控制器管理，对 `rules` 的直接变更会被该控制器阻止。 **aggregationRule 描述如何定位并聚合其它 ClusterRole 到此 ClusterRole。** - **aggregationRule.clusterRoleSelectors** ([]}}">LabelSelector) **原子：将在合并期间被替换** `clusterRoleSelectors` 包含一个选择器的列表，用于查找 ClusterRole 并创建规则。如果发现任何选择器匹配的 ClusterRole，将添加其对应的权限。 - **rules** ([]PolicyRule) **原子：将在合并期间被替换** `rules` 包含了这个 ClusterRole 的所有 PolicyRule。 **PolicyRule 包含描述一个策略规则的信息，但不包含该规则适用于哪个主体或适用于哪个命名空间的信息。** - **rules.apiGroups** ([]string) **原子：将在合并期间被替换** `apiGroups` 是包含资源的 apiGroup 的名称。如果指定了多个 API 组，则允许针对任何 API 组中的其中一个枚举资源来请求任何操作。 "" 表示核心 API 组，“*” 表示所有 API 组。 - **rules.resources** ([]string) **原子：将在合并期间被替换** `resources` 是此规则所适用的资源的列表。“*” 表示所有资源。 - **rules.verbs** ([]string)，必需 **原子：将在合并期间被替换** `verbs` 是适用于此规则中所包含的所有 ResourceKinds 的动作。 “*” 表示所有动作。 - **rules.resourceNames** ([]string) **原子：将在合并期间被替换** `resourceNames` 是此规则所适用的资源名称白名单，可选。空集合意味着允许所有资源。 - **rules.nonResourceURLs** ([]string) **原子：将在合并期间被替换** nonResourceURLs 是用户应有权访问的一组部分 URL。允许使用 “*”，但仅能作为路径中最后一段且必须用于完整的一段，因为非资源 URL 没有划分命名空间。此字段仅适用于从 ClusterRoleBinding 引用的 ClusterRole。 rules 可以应用到 API 资源（如 “pod” 或 “secret”）或非资源 URL 路径（如 “/api”），但不能同时应用于两者。 ## ClusterRoleList {#ClusterRoleList} ClusterRoleList 是 ClusterRole 的集合。

- **apiVersion**: rbac.authorization.k8s.io/v1 - **kind**: ClusterRoleList - **metadata** (}}">ListMeta) 标准的对象元数据。 - **items** ([]}}">ClusterRole)，必需 `items` 是 ClusterRole 的列表。 ## 操作 {#Operations}

### `get` 读取指定的 ClusterRole #### HTTP 请求 GET /apis/rbac.authorization.k8s.io/v1/clusterroles/{name} #### 参数 - **name**（**路径参数**）：string，必需 ClusterRole 的名称 - **pretty**（**查询参数**）：string }}">pretty #### 响应 200 (}}">ClusterRole): OK 401: Unauthorized ### `list` 列出或观测类别为 ClusterRole 的对象 #### HTTP 请求 GET /apis/rbac.authorization.k8s.io/v1/clusterroles #### 参数 - **allowWatchBookmarks**（**查询参数**）：boolean }}">allowWatchBookmarks - **continue**（**查询参数**）：string }}">continue - **fieldSelector**（**查询参数**）：string }}">fieldSelector - **labelSelector**（**查询参数**）：string }}">labelSelector - **limit**（**查询参数**）：integer }}">limit - **pretty**（**查询参数**）：string }}">pretty - **resourceVersion**（**查询参数**）：string }}">resourceVersion - **resourceVersionMatch**（**查询参数**）：string }}">resourceVersionMatch - **sendInitialEvents** (**查询参数**): boolean }}">sendInitialEvents - **shardSelector** (**查询参数**): string }}">shardSelector - **timeoutSeconds**（**查询参数**）：integer }}">timeoutSeconds - **watch**（**查询参数**）：boolean }}">watch #### 响应 200 (}}">ClusterRoleList): OK 401: Unauthorized ### `create` 创建一个 ClusterRole #### HTTP 请求 POST /apis/rbac.authorization.k8s.io/v1/clusterroles #### 参数 - **body**：}}">ClusterRole，必需 - **dryRun**（**查询参数**）：string }}">dryRun - **fieldManager**（**查询参数**）：string }}">fieldManager - **fieldValidation**（**查询参数**）：string }}">fieldValidation - **pretty**（**查询参数**）：string }}">pretty #### 响应 200 (}}">ClusterRole): OK 201 (}}">ClusterRole): Created 202 (}}">ClusterRole): Accepted 401: Unauthorized ### `update` 替换指定的 ClusterRole #### HTTP 请求 PUT /apis/rbac.authorization.k8s.io/v1/clusterroles/{name} #### 参数 - **name**（**路径参数**）：string，必需 ClusterRole 的名称 - **body**：}}">ClusterRole，必需 - **dryRun**（**查询参数**）：string }}">dryRun - **fieldManager**（**查询参数**）：string }}">fieldManager - **fieldValidation**（**查询参数**）：string }}">fieldValidation - **pretty**（**查询参数**）：string }}">pretty #### 响应 200 (}}">ClusterRole): OK 201 (}}">ClusterRole): Created 401: Unauthorized ### `patch` 部分更新指定的 ClusterRole #### HTTP 请求 PATCH /apis/rbac.authorization.k8s.io/v1/clusterroles/{name} #### 参数 - **name**（**路径参数**）：string，必需 ClusterRole 的名称 - **body**：}}">Patch，必需 - **dryRun**（**查询参数**）：string }}">dryRun - **fieldManager**（**查询参数**）：string }}">fieldManager - **fieldValidation**（**查询参数**）：string }}">fieldValidation - **force**（**查询参数**）：boolean }}">force - **pretty**（**查询参数**）：string }}">pretty #### 响应 200 (}}">ClusterRole): OK 201 (}}">ClusterRole): Created 401: Unauthorized ### `delete` 删除一个 ClusterRole #### HTTP 请求 DELETE /apis/rbac.authorization.k8s.io/v1/clusterroles/{name} #### 参数 - **name**（**路径参数**）：string，必需 ClusterRole 的名称 - **body**：}}">DeleteOptions - **dryRun**（**查询参数**）：string }}">dryRun - **gracePeriodSeconds**（**查询参数**）：integer }}">gracePeriodSeconds - **ignoreStoreReadErrorWithClusterBreakingPotential**（**查询参数**）：boolean }}">ignoreStoreReadErrorWithClusterBreakingPotential - **pretty**（**查询参数**）：string }}">pretty - **propagationPolicy**（**查询参数**）：string }}">propagationPolicy #### 响应 200 (}}">Status): OK 202 (}}">Status): Accepted 401: Unauthorized ### `deletecollection` 删除 ClusterRole 的集合 #### HTTP 请求 DELETE /apis/rbac.authorization.k8s.io/v1/clusterroles #### 参数 - **body**：}}">DeleteOptions - **continue**（**查询参数**）：string }}">continue - **dryRun**（**查询参数**）：string }}">dryRun - **fieldSelector**（**查询参数**）：string }}">fieldSelector - **gracePeriodSeconds**（**查询参数**）：integer }}">gracePeriodSeconds - **ignoreStoreReadErrorWithClusterBreakingPotential**（**查询参数**）：boolean }}">ignoreStoreReadErrorWithClusterBreakingPotential - **labelSelector**（**查询参数**）：string }}">labelSelector - **limit**（**查询参数**）：integer }}">limit - **pretty**（**查询参数**）：string }}">pretty - **propagationPolicy**（**查询参数**）：string }}">propagationPolicy - **resourceVersion**（**查询参数**）：string }}">resourceVersion - **resourceVersionMatch**（**查询参数**）：string }}">resourceVersionMatch - **sendInitialEvents** (**查询参数**): boolean }}">sendInitialEvents - **shardSelector** (**查询参数**): string }}">shardSelector - **timeoutSeconds**（**查询参数**）：integer }}">timeoutSeconds #### 响应 200 (}}">Status): OK 401: Unauthorized