我在群集上配置了Pod安全策略,这会阻止Pod以root身份运行。
但是,如果任何部署使用分till服务帐户,则它们可以以root身份启动pod,基本上,它们是完全管理员,没有Pod安全策略限制。
有没有一种方法可以限制Pod可以使用哪些服务帐户?
答案 0 :(得分:1)
是的,有可能。
您应绑定一个Role / ClusterRole。
示例:
p_UI_Get_My_Tables_Data
好看的
https://kubernetes.io/docs/reference/access-authn-authz/rbac/
https://docs.giantswarm.io/guides/securing-with-rbac-and-psp/