TL; DR 即可。我想将角色与用户联系起来,然后指定用户只能访问(读/写)群集A,而不是群集B或C(A,B和C都在同一个Google Cloud下)项目)。
在Google Cloud上,我有一个包含多个Kubernetes群集(基于GKE)的项目。
我需要将审核员添加到特定的Kubernetes集群中(并确保他无法访问项目中的其他GKE集群)。
到目前为止,我已经创建了一个" Auditor"作用。
既然我需要将角色附加到特定的电子邮件帐户,我就会摸不着头脑。在IAM Admin page我可以将角色绑定到特定的电子邮件和资源类型。但是没有任何迹象表明我将某个角色绑定到特定的特定资源。
如何确保特定用户电子邮件只能访问特定的GKE群集?
是否应该从群集A本身内部将用户绑定到群集? (这意味着用户不会看到群集B和C)。如果是这样,怎么样?
答案 0 :(得分:0)
您应该应用自定义角色,该角色仅允许群集列出并使用K8的RBAC功能来允许审核员在" A"群集。