Rancherの権限は何を認可しているのか

Rancher には RBAC の仕組みが備わっており，以下の3種類のスコープが存在する．

Global Permission: 特定クラスタに依存しない権限, Catalogやアカウント管理など
Cluster Role: Kubernetesクラスタ別の権限, ノードやストレージ, プロジェクトの管理など
Project Role: プロジェクト別の権限, 名前空間の管理やサービス, シークレット, ボリュームなど

(Permission と Role という単語が並列に用いられているのがもやっとする)

各スコープには複数のロールと権限が存在するが，
公式ドキュメントには Rancher の RBAC は Kubernetes の RBAC をベースとして実装している
と説明があるだけで具体的な権限についての説明がない．
ここでは Rancher の RBAC における 権限について確認する．

スコープ別のロールと権限

Global Permission

デフォルトでは Administrator と Standard User という2つのロールが定義されている．
ロールごとの権限は以下の通り

| Custom Global Permission | Administrator | Standard User |
|:--|:--|:--|:--|
| Manage Authentication | ✓ | |
| Manage Catalogs | ✓ | |
| Manage Node Drivers | ✓ | |
| Manage PodSecurityPolicy Templates | ✓ | |
| Manage Roles | ✓ | |
| Manage Users | ✓ | |
| Create Clusters | ✓ | ✓ |
| User Catalog Templates | ✓ | ✓ |
| Login Access | ✓ | ✓ |

Cluster Role

デフォルトでは Owner と Member の2つのロールが定義されている．
ロールごとの権限は以下の通り

Custom Cluster Role	Owner	Member
Manage Cluster Members	✓
Manage Nodes	✓
Manage Storage	✓
View All Projects	✓
Create Project	✓	✓
View Cluster Members	✓	✓
View Nodes	✓	✓

Project Role

デフォルトでは Owner, Member, Read Only の3つのロールが定義されている．
ロールごとの権限は以下の通り

Custom Cluster Role	Owner	Member	Read Only
Manage Project Members	✓
Create Namespaces	✓	✓
Manage Config Maps	✓	✓
Manage Ingress	✓	✓
Manage Secrets	✓	✓
Manage Service Accounts	✓	✓
Manage Services	✓	✓
Manage Volumes	✓	✓
Manage Workloads	✓	✓
View Config Maps	✓	✓	✓
View Ingress	✓	✓	✓
View Project Members	✓	✓	✓
View Secrets	✓	✓	✓
View Service Accounts	✓	✓	✓
View Services	✓	✓	✓
View Volumes	✓	✓	✓
View Workloads	✓	✓	✓

権限の設計

では，各権限はどのように定義されているかというと
Global > Security > Roles で確認できる(一部省略)．

各権限を選択すると，権限ごとに設定されている対象リソースとオペレーションを確認できる．

ここで表示されている Create 〜 Watch までの操作は Kubernetes の RBAC で
指定可能な操作 (verb)と同じである．

参考: Kubernetes: RBACの設定におけるAPIリソース

また，対象のリソースは Rancher で定義された CRD(Custom Resource Definition)
であり，CRD の詳細を確認することで対象リソースの内容を確認できる．

参考: Rancher 2.0のデータストアを覗く方法