0

我想为我的 Kubernetes 集群( https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles)的一些用户使用 ClusterRole编辑。

然而,不幸的是,用户可以访问和修改资源配额和限制范围。

我现在的问题是:如何通过 RoleBinding 授予用户对命名空间的访问权限,以使角色本质上是 CluserRole编辑,但没有对资源配额和限制范围的任何访问权限?

4

1 回答 1

1

edit角色仅授予对and的读取权限:resourcequotaslimitranges

- apiGroups:
  - ""
  resources:
  - bindings
  - events
  - limitranges
  - namespaces/status
  - pods/log
  - pods/status
  - replicationcontrollers/status
  - resourcequotas
  - resourcequotas/status
  verbs:
  - get
  - list
  - watch

如果您想要一个不包括对这些资源的读取权限的角色,只需制作一个edit排除这些资源的角色副本。

于 2022-01-12T00:03:29.660 回答