修改 Kubernetes 的 ClusterRole

Modify ClusterRole for Kubernetes

我想为我的 Kubernetes 集群 (https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles) 的一些用户使用 ClusterRole edit

但是,不幸的是,用户可以访问和修改资源配额和限制范围。

我现在的问题是:如何通过 RoleBinding 授予用户对命名空间的访问权限,这样 Role 本质上就是 CluserRole edit,但没有对 Resource 的任何访问权限配额和限制范围?

edit 角色仅授予对 resourcequotaslimitranges:

read 访问权限
- apiGroups:
  - ""
  resources:
  - bindings
  - events
  - limitranges
  - namespaces/status
  - pods/log
  - pods/status
  - replicationcontrollers/status
  - resourcequotas
  - resourcequotas/status
  verbs:
  - get
  - list
  - watch

如果您想要一个不包含对这些资源的读取权限的角色,只需制作一份 edit 角色的副本,并排除那些资源。