我创建了一个名称空间xxx;此命名空间的作用是获取pod,服务等。我为名称空间yyy中的角色创建了服务帐户yyy和角色绑定xxx。
当我尝试使用秘密令牌通过API检查某些内容时,例如
curl -kD - -H "Authorization: Bearer $TOKEN https://localhost:6443/api/v1/namespaces/xxx/pods
我收到“403禁止”错误。
所以我将服务帐户yyy的群集角色绑定到群集角色view,之后用户可以看到我的命名空间的pod,但也可以看到来自其他命名空间的其他pod
如何限制服务帐户yyy只能从特定命名空间查看广告连播,服务等?
答案 0 :(得分:1)
要仅允许在特定命名空间中进行访问,请创建角色绑定,而不是clusterrolebinding:
kubectl create rolebinding my-viewer --clusterrole=view --serviceaccount=xxx:yyy -n xxx