GKE RBAC 提供对命名空间的无限制访问

Question

大家好，我正在使用 GKE，我正在尝试使用 RBAC 并将其他用户限制到特定的命名空间。 这是我的 RBAC 政策

  apiVersion: v1
kind: Namespace
metadata:
  name: team-1
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: team-1
  name: team_1-rw
rules:
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: team-1
  name: team_1-binding
subjects:
- kind: User
  name: abc@example.com
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: team_1-rw
  apiGroup: rbac.authorization.k8s.io

在尝试从用户 ID 登录并执行 kubectl get deployments 时应用此策略后，它不会限制我检查默认命名空间中的部署。它应该只对我有效 team-1 namespace 但它提供了无限访问其他命名空间以及我还在 IAM 中授予用户 kubernetes 引擎查看器权限