长话短说。我有一个 Rancher 集群。集群中有一个 foo 项目,foo 项目中有一个 bar 命名空间
rancher cluster -> foo project -> bar namespace
。我为 foo 项目分配了一个具有项目成员角色的用户。
我的问题是,如何阻止用户创建 Kubernetes 秘密对象?除了创建秘密权限之外,我想保留项目成员角色,并且我想在 Rancher 方面实现这一目标。
到目前为止我发现了什么?
更新#1
默认情况下,project-member 的 Rancher 角色继承自 Kubernetes-edit 角色,project-owner 角色继承自 Kubernetes-admin 角色。因此,项目成员和项目所有者角色都将允许命名空间管理,包括创建和删除命名空间的能力。 来源
有一个编辑 ClusterRole 对象,其中包含创建秘密的权限。
更新#2
我可以创建一个自定义项目角色,该角色将从只读角色继承,然后我可以添加所需的权限和角色。我认为这可能是我的情况下最好的选择。我不会将问题标记为已回答。
谢谢您的提前!
这就是我为实现目标所做的事情: