限制Kubernetes服务帐户访问特定的名称空间
[英]Limit the Kubernetes service account access specific namespace
问题描述
我创建了一个服务帐户,其中包含默认的群集角色“视图”,这使得它可以使用视图权限访问我们的所有资源。
但我想添加一个限制,以使该服务帐户无法访问我们的名称空间之一。
知道我该如何实现吗?
BR,
蒂姆
2 个解决方案
解决方案1
3 2018-10-03 18:02:41
Kubernetes只有两个权限范围:Cluster( ClusterRole )或Namespace( Role ),并且没有办法将ClusterRole限制或排除到特定的命名空间。 如果要将ServiceAccount限制为特定的名称空间,则不能使用ClusterRole而必须在ServiceAccount应该有权访问的每个名称空间中使用Role 。
解决方案2
1 2018-10-03 20:45:31
除了其他答案,使用Role ,还需要在RoleBinding上指定namespace 。 例如:
$ kubectl create rolebinding my-binding --role=myrole --user=myuser --namespace=mynamespace
如何让所有 Kubernetes 服务帐户访问特定命名空间?
[英]How to give all Kubernetes service accounts access to a specific namespace?
Kubernetes创建秘密并在创建名称空间时更改默认服务帐户
[英]Kubernetes create secret and change default service account upon namespace creation
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.