撤消对谷歌容器引擎上的kubernetes群集的访问权限

时间:2016-09-12 13:13:02

标签: security kubernetes google-kubernetes-engine

我正在托管谷歌容器引擎。最近,我的一位队友离开了公司,我想撤销他对集群的访问权限。我已经从计算引擎项目中删除了他的帐户,但他仍然可以访问集群。

他通过gcloud container clusters get-credentials <cluster>访问了该网址。我在~/.kube/config看到的条目看起来好像得到了与所有同事一样的证书。

我需要做什么才能将他从群集中删除?对我来说,似乎没有关于这个主题的文档。

附加说明: 该集群仍然在kubernetes 1.2.5

1 个答案:

答案 0 :(得分:3)

使用每群集证书时,目前无法撤消/轮换证书(请参阅Issue #4672)。完全撤消访问权限的唯一方法是删除并重新创建群集。

如果您改为使用Google OAuth2凭据访问您的群集(默认w / 1.3群集和最新客户端),则权限与您项目的IAM configuration相关联,并且可以撤消/更改在任何时候。

检索群集证书要求调用者具有container.clusters.getCredentials权限,该权限由Container Engine AdminEditor角色包含。只要您为团队成员提供的角色不包含该权限(例如Container Engine Developer),他们就无法检索群集证书。

以下是GKE IAM docs,了解有关GKE权限和角色的更多信息。