修改 Kubernetes 的 ClusterRole
Modify ClusterRole for Kubernetes
我想为我的 Kubernetes 集群 (https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles) 的一些用户使用 ClusterRole edit。
但是,不幸的是,用户可以访问和修改资源配额和限制范围。
我现在的问题是:如何通过 RoleBinding 授予用户对命名空间的访问权限,这样 Role 本质上就是 CluserRole edit,但没有对 Resource 的任何访问权限配额和限制范围?
edit 角色仅授予对 resourcequotas 和 limitranges:
的 read 访问权限
- apiGroups:
- ""
resources:
- bindings
- events
- limitranges
- namespaces/status
- pods/log
- pods/status
- replicationcontrollers/status
- resourcequotas
- resourcequotas/status
verbs:
- get
- list
- watch
如果您想要一个不包含对这些资源的读取权限的角色,只需制作一份 edit 角色的副本,并排除那些资源。
我想为我的 Kubernetes 集群 (https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles) 的一些用户使用 ClusterRole edit。
但是,不幸的是,用户可以访问和修改资源配额和限制范围。
我现在的问题是:如何通过 RoleBinding 授予用户对命名空间的访问权限,这样 Role 本质上就是 CluserRole edit,但没有对 Resource 的任何访问权限配额和限制范围?
edit 角色仅授予对 resourcequotas 和 limitranges:
- apiGroups:
- ""
resources:
- bindings
- events
- limitranges
- namespaces/status
- pods/log
- pods/status
- replicationcontrollers/status
- resourcequotas
- resourcequotas/status
verbs:
- get
- list
- watch
如果您想要一个不包含对这些资源的读取权限的角色,只需制作一份 edit 角色的副本,并排除那些资源。