K8S RBAC角色允许除名称空间和服务帐户外的所有内容

时间:2020-03-17 20:19:01

标签: kubernetes

请考虑以下RBAC角色。是否可以为resources:编写更复杂的正则表达式,以防止访问服务帐户和名称空间,但允许其他所有内容? 

- apiGroups:
  "*"
  resources:
  "*"
  verbs:
  "*"

1 个答案:

答案 0 :(得分:1)

一个简单的解决方法是禁用访问命名空间中资源的可能性。执行命令:

$ kubectl api-resources --namespaced=false

将返回非命名空间的资源,否则默认情况下将返回命名空间的资源。

也在使用时:

  • apiGroups: “ *”-这意味着您要授予Kubernetes API中所有组的访问权限(核心API组和命名组)

  • 资源: “ *”-这意味着您要授予对所有资源(获取,服务,端点等)的访问权限。

  • 动词: “ *”-这意味着您要允许对指定对象进行操作(获取,列出,编辑等)。

在您定义的情况下,您不会阻止访问,而是将其分配给每个对象等。

看一下:api-resources

相关问题
最新问题