大家好,我正在使用 GKE,我正在尝试使用 RBAC 并将其他用户限制到特定的命名空间。 这是我的 RBAC 政策
apiVersion: v1
kind: Namespace
metadata:
name: team-1
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: team-1
name: team_1-rw
rules:
- apiGroups: ["extensions", "apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: team-1
name: team_1-binding
subjects:
- kind: User
name: abc@example.com
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: team_1-rw
apiGroup: rbac.authorization.k8s.io
在尝试从用户 ID 登录并执行 kubectl get deployments
时应用此策略后,它不会限制我检查默认命名空间中的部署。它应该只对我有效 team-1 namespace
但它提供了无限访问其他命名空间以及我还在 IAM 中授予用户 kubernetes 引擎查看器权限