我在特定项目中有一个具有“查看”角色的用户。
我希望这个用户能够通过GUI控制台访问项目POD上的“终端”选项(现在我收到一条错误消息“无法连接到容器。你有足够的权限吗?”)。
我应该为这个用户分配哪个角色?或者我可以使用pods / exec访问权限创建自定义角色吗?
谢谢
答案 0 :(得分:0)
克莱顿的答案是正确的,你可以创建一个自定义角色,但你应该仔细考虑exec是否具有适当的权力级别以及如何控制升级向量。
如果您带一个查看器并添加授予他们exec权限,那么该用户突然变成了编辑器的粗略等价物。他有权更改为您的服务提供服务的pod的状态,并且他有权查看自动安装的服务帐户令牌。看到该令牌赋予他任何服务帐户的权力(默认情况下只是一个图像拉取器),但像jenkins这样的集成为服务帐户分配了编辑权限。