[英]Revoke access to kubernetes cluster on google container engine
我正在托管谷歌容器引擎。 最近,我的一位队友离开了公司,我想撤销他对集群的访问权限。 我已经从计算引擎项目中删除了他的帐户,但他仍然可以访问群集。
他通过gcloud container clusters get-credentials <cluster>
了访问权限。 我在~/.kube/config
看到的条目看起来好像我得到了与所有同事一样的证书。
我需要做什么才能将他从群集中删除? 对我来说,好像没有关于这个主题的文档。
附加说明:群集仍在kubernetes 1.2.5上
使用每群集证书时,目前无法撤消/轮换证书(请参阅问题#4672 )。 完全撤消访问权限的唯一方法是删除并重新创建群集。
如果您改为使用Google OAuth2凭据访问您的群集(默认w / 1.3群集和最新客户端),则权限与项目的IAM配置相关联 ,并且可以随时撤消/更改。
检索群集证书要求调用者具有container.clusters.getCredentials
权限,该权限由Container Engine Admin
和Editor
角色包含。 只要您为团队成员提供的角色不包含该权限(例如Container Engine Developer
),他们就无法检索群集证书。
以下是有关GKE权限和角色的更多信息的GKE IAM文档 。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.