k8s-阻止Pod使用某些服务帐户

时间:2018-12-12 21:10:09

标签: kubernetes rbac

我在群集上配置了Pod安全策略,这会阻止Pod以root身份运行。

但是,如果任何部署使用分till服务帐户,则它们可以以root身份启动pod,基本上,它们是完全管理员,没有Pod安全策略限制。

有没有一种方法可以限制Pod可以使用哪些服务帐户?

1 个答案:

答案 0 :(得分:1)

是的,有可能。

您应绑定一个Role / ClusterRole。

示例:

p_UI_Get_My_Tables_Data

好看的

https://kubernetes.io/docs/reference/access-authn-authz/rbac/

https://docs.giantswarm.io/guides/securing-with-rbac-and-psp/