请考虑以下RBAC角色。是否可以为resources:编写更复杂的正则表达式,以防止访问服务帐户和名称空间,但允许其他所有内容?
- apiGroups:
"*"
resources:
"*"
verbs:
"*"
答案 0 :(得分:1)
一个简单的解决方法是禁用访问命名空间中资源的可能性。执行命令:
$ kubectl api-resources --namespaced=false
将返回非命名空间的资源,否则默认情况下将返回命名空间的资源。
也在使用时:
apiGroups: “ *”-这意味着您要授予Kubernetes API中所有组的访问权限(核心API组和命名组)
资源: “ *”-这意味着您要授予对所有资源(获取,服务,端点等)的访问权限。
在您定义的情况下,您不会阻止访问,而是将其分配给每个对象等。
看一下:api-resources。