CertificateRequestPolicySpec 定義 CertificateRequestPolicy 的期望狀態。

CertificateRequestPolicyStatus 定義 CertificateRequestPolicy 的觀察狀態。

Selector 用於選擇此 CertificateRequestPolicy 適用於哪些 CertificateRequest，並將用於其核准評估。

Allowed 定義 CertificateRequest 的允許屬性。CertificateRequest 可以請求少於允許的項目，但不能多於允許的項目，也就是說，CertificateRequest 可以請求政策宣告為允許的項目的子集。省略的欄位表示等效的 CertificateRequest 欄位必須省略，或是請求的值必須為空，才允許該請求。

Constraints 定義 CertificateRequest 必須滿足的欄位，才能讓此政策允許該請求。省略的欄位對請求中對應的屬性沒有限制。

外掛程式是在編譯時建置到 approver-policy 中的核准者。這是一個通常用於擴充 approver-policy 核心功能的高階功能。這個欄位定義當針對 CertificateRequest 評估此政策時，應執行的外掛程式及其設定。

IssuerRef 用於依簽發者比對，表示 CertificateRequestPolicy 只會評估參照符合的簽發者的 CertificateRequest。如果簽發者不符，則不會處理 CertificateRequest，無論請求者是否受限於 RBAC。

以下值會比對所有簽發者

issuerRef: {}

Namespace 用於依命名空間比對，表示 CertificateRequestPolicy 只會比對在符合的命名空間中建立的 CertificateRequest。如果省略此欄位，則會檢查所有命名空間中的資源。

Group 是萬用字元選取器，可比對請求中的 spec.issuerRef.group 欄位。接受萬用字元「*」。省略的欄位會比對所有群組。

Kind 是萬用字元選取器，可比對請求中的 spec.issuerRef.kind 欄位。接受萬用字元「*」。省略的欄位會比對所有種類。

Name 是已啟用萬用字元的選取器，可比對請求的 spec.issuerRef.name 欄位。接受萬用字元「*」。省略的欄位會比對所有名稱。

MatchLabels 是一組命名空間標籤，可用於選取在符合選取器的命名空間中建立的 CertificateRequest。

MatchNames 是一組命名空間名稱，可用於選取在符合的命名空間中建立的 CertificateRequest。接受萬用字元「*」。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

CommonName 定義可能請求的 X.509 一般名稱。

DNSNames 定義可能請求的 X.509 DNS SAN。

EmailAddresses 定義可能請求的 X.509 電子郵件 SAN。

IPAddresses 定義可能請求的 X.509 IP SAN。

IsCA 定義是否允許 CertificateRequest 將 spec.isCA 欄位設定為 true。如果為 true，則 spec.isCA 欄位可以是 true 或 false。如果為 false 或未設定，則 spec.isCA 欄位必須為 false。

Subject 宣告 CertificateRequest 中允許的 X.509 主體屬性。省略的欄位會禁止請求任何主體屬性。CertificateRequest 可以請求允許的 X.509 主體屬性的子集。

URIs 定義可能請求的 X.509 URI SAN。

Usages 定義可包含在 CertificateRequest spec.keyUsages 欄位中的金鑰用法。如果設定，CertificateRequest 中的 spec.keyUsages 必須是指定值的子集。如果為 [] 或未設定，則不允許任何 spec.keyUsages。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

Required 表示必須提供相關欄位，且不得為空字串。預設為 false。

Validations 使用通用運算式語言 (CEL) 套用規則，以驗證請求中存在的屬性值，超出使用值/必要項所能表達的範圍。相關 CertificateRequest 欄位上的屬性值必須通過所有驗證，才能讓此政策允許該請求。

Value 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，則相關欄位必須符合指定的模式。

注意：value: "" 與 required: true 配對會建立一個永遠不會授與 CertificateRequest 的政策，但其他政策可能會授與。

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Countries 定義可能請求的 X.509 主體國家/地區。

Localities 定義可能請求的 X.509 主體地點。

OrganizationalUnits 定義可能請求的 X.509 主體組織單位。

Organizations 定義可能請求的 X.509 主體組織。

PostalCodes 定義可能請求的 X.509 主體郵遞區號。

Provinces 定義可能請求的 X.509 主體省份。

SerialNumber 定義可能請求的 X.509 主體序號。

StreetAddresses 定義可能請求的 X.509 主體街道地址。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 表示必須提供相關欄位，且不得為空字串。預設為 false。

Validations 使用通用運算式語言 (CEL) 套用規則，以驗證請求中存在的屬性值，超出使用值/必要項所能表達的範圍。相關 CertificateRequest 欄位上的屬性值必須通過所有驗證，才能讓此政策允許該請求。

Value 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，則相關欄位必須符合指定的模式。

注意：value: "" 與 required: true 配對會建立一個永遠不會授與 CertificateRequest 的政策，但其他政策可能會授與。

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

Required 控制相關欄位是否必須至少有一個值。預設值為 false。

Validations 使用通用表達式語言 (CEL) 套用規則，以驗證請求上的屬性值，超出使用 values/required 可能表達的範圍。相關 CertificateRequest 欄位的所有屬性值必須通過 ALL 驗證，此原則才會授予請求。

Values 定義相關 CertificateRequest 欄位上允許的屬性值。接受萬用字元「*」。如果設定，相關欄位只能包含允許值中包含的項目。

注意：values: [] 與 required: true 配對會建立一個永遠不會授予 CertificateRequest 的原則，但其他原則可能會。TODO：在 v1alpha2 中新增 x-kubernetes-list-type: set

規則代表將由 CEL 評估的表達式。參考：https://github.com/google/cel-spec。規則的作用範圍限定於 schema 中驗證的位置。CEL 表達式中的 self 變數會綁定到作用域的值。為了啟用更進階的驗證規則，approver-policy 提供 cr (map) 變數給 CEL 表達式，其中包含 CertificateRequest 資源的 namespace 和 name。

範例（針對命名空間的 DNS 名稱的規則）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

訊息是在驗證失敗時顯示的訊息。如果規則包含換行符號，則必須提供訊息。請注意，訊息不得包含換行符號。如果未設定，則會使用後備訊息：「規則失敗：<rule>」。例如：「必須是主機符合 spec.host 的 URL」。

MaxDuration 定義憑證請求的最大期限。數值是包含性的（例如，1h 的值會接受 1h 的期限）。MinDuration 和 MaxDuration 可以是相同的值。如果設定，則**必須**在 CertificateRequest 中請求期限。省略的欄位表示對期限沒有最大約束。

MinDuration 定義憑證請求的最小期限。數值是包含性的（例如，1h 的值會接受 1h 的期限）。MinDuration 和 MaxDuration 可以是相同的值。如果設定，則**必須**在 CertificateRequest 中請求期限。省略的欄位表示對期限沒有最小約束。

PrivateKey 定義 CertificateRequest 允許的私鑰形狀的約束。省略的欄位表示沒有私鑰形狀約束。

Algorithm 定義請求中允許的私鑰加密演算法。省略的欄位允許任何演算法。

列舉：RSA、ECDSA、Ed25519

MaxSize 定義私鑰的最大金鑰大小。數值是包含性的（例如，2048 的最小值會接受 2048 的大小）。MaxSize 和 MinSize 可以是相同的值。省略的欄位表示對大小沒有最大約束。

MinSize 定義私鑰的最小金鑰大小。數值是包含性的（例如，2048 的最小值會接受 2048 的大小）。MinSize 和 MaxSize 可以是相同的值。省略的欄位表示對大小沒有最小約束。

值定義一組外掛程式已知的、對外掛程式而言必要的鍵值對，以便外掛程式根據此原則成功評估請求。

狀態條件列表，表示 CertificateRequestPolicy 的狀態。已知的條件類型為 Ready。

條件的狀態，為 ('True'、'False'、'Unknown') 之一。

條件的類型，已知的值為 (Ready)。

LastTransitionTime 是此條件最後一次狀態變更的時間戳記。

格式：日期時間

Message 是對最後一次轉換詳細資訊的人工可讀描述，補充了原因。

如果設定，則此值表示條件設定所依據的 .metadata.generation。例如，如果 .metadata.generation 目前為 12，但 .status.condition[x].observedGeneration 為 9，則條件相對於 CertificateRequestPolicy 的目前狀態已過時。

格式：int64

Reason 是對條件的最後一次轉換的簡短機器可讀解釋。