我正在托管谷歌容器引擎。最近,我的一位队友离开了公司,我想撤销他对集群的访问权限。我已经从计算引擎项目中删除了他的帐户,但他仍然可以访问集群。
他通过gcloud container clusters get-credentials <cluster>
访问了该网址。我在~/.kube/config
看到的条目看起来好像得到了与所有同事一样的证书。
我需要做什么才能将他从群集中删除?对我来说,似乎没有关于这个主题的文档。
附加说明: 该集群仍然在kubernetes 1.2.5
答案 0 :(得分:3)
使用每群集证书时,目前无法撤消/轮换证书(请参阅Issue #4672)。完全撤消访问权限的唯一方法是删除并重新创建群集。
如果您改为使用Google OAuth2凭据访问您的群集(默认w / 1.3群集和最新客户端),则权限与您项目的IAM configuration相关联,并且可以撤消/更改在任何时候。
检索群集证书要求调用者具有container.clusters.getCredentials
权限,该权限由Container Engine Admin
和Editor
角色包含。只要您为团队成员提供的角色不包含该权限(例如Container Engine Developer
),他们就无法检索群集证书。
以下是GKE IAM docs,了解有关GKE权限和角色的更多信息。