[英]Limit the Kubernetes service account access specific namespace
我創建了一個服務帳戶,其中包含默認的群集角色“視圖”,這使得它可以使用視圖權限訪問我們的所有資源。
但我想添加一個限制,以使該服務帳戶無法訪問我們的名稱空間之一。
知道我該如何實現嗎?
BR,
蒂姆
Kubernetes只有兩個權限范圍:Cluster( ClusterRole
)或Namespace( Role
),並且沒有辦法將ClusterRole
限制或排除到特定的命名空間。 如果要將ServiceAccount限制為特定的名稱空間,則不能使用ClusterRole
而必須在ServiceAccount應該有權訪問的每個名稱空間中使用Role
。
除了其他答案,使用Role
,還需要在RoleBinding
上指定namespace
。 例如:
$ kubectl create rolebinding my-binding --role=myrole --user=myuser --namespace=mynamespace
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.