opa(开放策略)可以在创建、删除或更新 Kubernetes 资源之前引用其策略。但在获取(描述或获取)时不能。如何强制执行此操作以获取请求?这是 OPA 的路线图还是准入控制器的范围?
我们想要阻止查看服务帐户令牌。
问问题
45 次
1 回答
0
Kubernetes 中的准入控制不允许您控制get. 它只允许您控制create、update、delete和connect。验证 webhook及其后代 RuleWithOperations的 API 文档(没有方便的链接)没有明确说明这一点,但引入 API 访问的文档明确说明了这一点。
要控制get,您需要使用授权。要使用 OPA 进行授权,您需要授权 webhook 模式。
于 2019-12-17T01:04:41.617 回答