限制Kubernetes服務帳戶訪問特定的名稱空間
[英]Limit the Kubernetes service account access specific namespace
問題描述
我創建了一個服務帳戶,其中包含默認的群集角色“視圖”,這使得它可以使用視圖權限訪問我們的所有資源。
但我想添加一個限制,以使該服務帳戶無法訪問我們的名稱空間之一。
知道我該如何實現嗎?
BR,
蒂姆
2 個解決方案
解決方案1
3 2018-10-03 18:02:41
Kubernetes只有兩個權限范圍:Cluster( ClusterRole )或Namespace( Role ),並且沒有辦法將ClusterRole限制或排除到特定的命名空間。 如果要將ServiceAccount限制為特定的名稱空間,則不能使用ClusterRole而必須在ServiceAccount應該有權訪問的每個名稱空間中使用Role 。
解決方案2
1 2018-10-03 20:45:31
除了其他答案,使用Role ,還需要在RoleBinding上指定namespace 。 例如:
$ kubectl create rolebinding my-binding --role=myrole --user=myuser --namespace=mynamespace
如何讓所有 Kubernetes 服務帳戶訪問特定命名空間?
[英]How to give all Kubernetes service accounts access to a specific namespace?
Kubernetes創建秘密並在創建名稱空間時更改默認服務帳戶
[英]Kubernetes create secret and change default service account upon namespace creation
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.