[英]Limit the Kubernetes service account access specific namespace
我创建了一个服务帐户,其中包含默认的群集角色“视图”,这使得它可以使用视图权限访问我们的所有资源。
但我想添加一个限制,以使该服务帐户无法访问我们的名称空间之一。
知道我该如何实现吗?
BR,
蒂姆
Kubernetes只有两个权限范围:Cluster( ClusterRole
)或Namespace( Role
),并且没有办法将ClusterRole
限制或排除到特定的命名空间。 如果要将ServiceAccount限制为特定的名称空间,则不能使用ClusterRole
而必须在ServiceAccount应该有权访问的每个名称空间中使用Role
。
除了其他答案,使用Role
,还需要在RoleBinding
上指定namespace
。 例如:
$ kubectl create rolebinding my-binding --role=myrole --user=myuser --namespace=mynamespace
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.