opa(开放策略)可以在创建,删除或更新kubernetes资源之前引用其策略。但是在获取(描述或获取)资源时不能。如何执行此请求?这是在OPA的路线图中还是在准入控制器的范围内?
我们希望阻止查看服务帐户令牌。
Kubernetes中的访问控制不允许您控制get。它仅允许您控制create,update,delete和connect。 validating webhook及其后代RuleWithOperations(没有方便的链接)的API文档没有明确说明,但docs introducing API access明确声明了它。
要控制get,您需要使用authorization。要使用OPA进行授权,您需要authorization webhook mode。