我的书签
添加书签
移除书签约束和属性
具体而言,你可以使用约束在服务角色的访问规则字段中指定额外条件。你可以使用属性在服务角色绑定的主题字段中指定其他条件。Istio支持此页面上列出的HTTP协议的所有密钥,但仅支持普通TCP协议的一些密钥。
了解更多信息,请参阅授权的概念页面。
请注意,类似 experimental.* 命名的键值没有保证向后兼容。它们可能随时被移除,建议用户自行承担使用风险。
支持的属性
| 名称 | 描述 | 是否支持TCP服务 | 键值示例 | 值示例 |
|---|---|---|---|---|
source.ip | 源工作负载实例 IP 地址,支持单 IP 或 CIDR | 是 | source.ip | "10.1.2.3" |
source.namespace | 源工作负载实例命名空间 | 是 | source.namespace | |
source.principal | 源工作负载实例标识 | 是 | source.principal | "cluster.local/ns/default/sa/productpage" |
request.headers | HTTP 请求头, 实际的请求头名称包含在括号中 | 否 | request.headers[User-Agent] | "Mozilla/" |
request.auth.principal | 请求中最重要的认证 | 否 | request.auth.principal | "accounts.my-svc.com/104958560606" |
request.auth.audiences | 认证信息的预期受众 | 否 | request.auth.audiences | "my-svc.com" |
request.auth.presenter | 被授权的授权人 | 否 | request.auth.presenter | "123456789012.my-svc.com" |
request.auth.claims | 原始 JWT 断言。实际的断言名称包含在括号中 | 否 | request.auth.claims[iss] |
