Kubernetes 仪表板让用户只需单击几下即可查看所有机密,包括其原始值。这些机密可能包含非常敏感的数据,例如生产数据库密码和私钥。
您如何限制仪表板的用户,使他们看不到敏感数据?
问问题
642 次
1 回答
2
这是一个已知问题,目前根本没有官方支持 - Dashboard 是一个超级用户级别的管理工具。这不应该永远如此,但需要更多的帮助才能实现它。
该问题线程中讨论了一些当前有效的解决方法。这里有一些值得注意的怪癖,需要事先注意:
- 仪表板是否应该在仪表板用户之下,并受此限制?如果是这样,就像 Anirudh 建议的那样,您可以对仪表板的某些部分进行中性处理,如果他们访问 Secrets 面板,它将正常工作并获得 403。
- 仪表板是否应该在登录用户下,并且仅限于该用户可以看到的内容?这意味着
kubectl proxy在没有一些浏览器插件或 MITM 代理的情况下将有必要将所需的身份验证附加到仪表板服务器调用,但这是可能的。
于 2017-06-27T21:44:38.820 回答