使用 kubernetes RBAC 中的 ressourceNames 字段来授予对日志的访问权限

问题描述 投票:0回答:1

我想通过 

logs
提供对 
ClusterRole
的访问,如下

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: logs-reader
rules:
- apiGroups: [""]
  resources: ["pods/log"]
  verbs: ["get"]

有没有办法将其限制为一组特定的 pod 名称? AFAIK 

resourceNames
字段不支持通配符,但另一方面,pod 名称是不可预测的,因此我向特定字段添加了一些内容

kubernetes security logging containers rbac
1个回答
0
投票

有没有办法将其限制为一组特定的 pod 名称?

这个问题还没有发展成为 Kubernetes 功能。尽管如此,对话仍在 Kubernetes GitHub 问题页面上进行。

参考:

https://github.com/kubernetes/kubernetes/issues/56582 https://github.com/kubernetes/kubernetes/issues/44703

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.