为每个用户授予特定命名空间的权限。

问题描述 投票:0回答:1

我有一堆用户。每个用户都应该能够在命名空间中创建改变和删除物质,如 *-stage. 命名空间可以动态添加或删除。我可以在每个命名空间创建ServiceAccount并授予权限。

我在k8s中创建了pod,并在其中安装了kubectl和ssh。所以每个用户都可以访问这个 pod,并且可以使用 kubectl。我知道我可以把ServiceAccount的秘密挂载到pod上。至于我对每个命名空间都有不同的ServiceAccount,我不知道如何给所有的ServiceAccount授予权限。*-stage 命名空间。我不想为每个用户创建 cluster-admin ServiceAccount的ClusterRoleBinding,因为用户应该只能修改 *-stage 命名空间。你能帮帮我吗?

kubernetes
1个回答
1
投票

我根据OP的解决方法发一个社区wiki的答案,以便更好的查看。

事实上,我已经解决了这个问题。我创建了 ["*"] 角色 *-stage 命名空间并将其绑定到ServiceAccount上。然后我把ServiceAccount挂载到通过ssh的kubectl pod上。所以每个用户都可以无限制的访问 *-stage 命名空间。

此外,我还添加了关于官方文档的链接,这些文档是关于 服务账户基于角色的访问控制 作为补充。

© www.soinside.com 2019 - 2024. All rights reserved.