撤消对谷歌容器引擎上的kubernetes群集的访问权限
[英]Revoke access to kubernetes cluster on google container engine
问题描述
我正在托管谷歌容器引擎。 最近,我的一位队友离开了公司,我想撤销他对集群的访问权限。 我已经从计算引擎项目中删除了他的帐户,但他仍然可以访问群集。
他通过gcloud container clusters get-credentials <cluster>了访问权限。 我在~/.kube/config看到的条目看起来好像我得到了与所有同事一样的证书。
我需要做什么才能将他从群集中删除? 对我来说,好像没有关于这个主题的文档。
附加说明:群集仍在kubernetes 1.2.5上
1 个解决方案
解决方案1
3 已采纳 2016-09-12 17:30:32
使用每群集证书时,目前无法撤消/轮换证书(请参阅问题#4672 )。 完全撤消访问权限的唯一方法是删除并重新创建群集。
如果您改为使用Google OAuth2凭据访问您的群集(默认w / 1.3群集和最新客户端),则权限与项目的IAM配置相关联 ,并且可以随时撤消/更改。
检索群集证书要求调用者具有container.clusters.getCredentials权限,该权限由Container Engine Admin和Editor角色包含。 只要您为团队成员提供的角色不包含该权限(例如Container Engine Developer ),他们就无法检索群集证书。
以下是有关GKE权限和角色的更多信息的GKE IAM文档 。
kubernetes 集群用户/管理员可以看到由 pod 内的 vault sidecar 容器注入的 vault 机密
[英]Vaults secrets injected by vault sidecar container inside the pod are visible to kubernetes cluster users/admin
Google Cloud App Engine 网站 - 无法通过 VPN 访问
[英]Google Cloud App Engine Website - unable to access on VPN
限制访问网站的某些部分。 Google App Engine网络应用
[英]Restricting access to some parts of a site. Google App Engine webapp
如何查看 kubernetes 集群的 kubectl 执行历史?
[英]How to check kubectl execution history of a kubernetes cluster?
Oauth2 / Openid Connect。 如何撤消未知访问/刷新令牌
[英]Oauth2/Openid Connect. How to revoke unknown access/refresh tokens
使用 ms access 2003 mdw 安全时如何撤销用户权限。 并分配了分组权限
[英]How to revoke user permission when use ms access 2003 mdw security. And assigned permission to group
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
访问令牌:撤销与删除
限制Google App Engine端点API访问
这是在Google App Engine中处理访问权限的安全方法吗?
kubernetes 集群用户/管理员可以看到由 pod 内的 vault sidecar 容器注入的 vault 机密
Google Cloud App Engine 网站 - 无法通过 VPN 访问
Kubernetes 集群的 CIS 基准测试问题
限制访问网站的某些部分。 Google App Engine网络应用
如何查看 kubernetes 集群的 kubectl 执行历史?
Oauth2 / Openid Connect。 如何撤消未知访问/刷新令牌
使用 ms access 2003 mdw 安全时如何撤销用户权限。 并分配了分组权限
相关标签