是否可以创建一个Kubernetes集群管理员而不具有读取名称空间机密的能力?
我知道您可以创建一个ClusterRole并列出每个资源,并省略秘密,但看起来并不直观。
您可以使用Aggregated ClusterRoles删除权限吗?因此使用ClusterRole cluster-admin并具有使用以下角色:
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: [""]
答案 0 :(得分:1)
Aggregated Cluster Roles并不是几个ClusterRole中的set union。要获得所需的行为,您需要一个set subtraction的集群管理员角色减去定义的规则。 It's not supported in K8s as of this writing。