我有一个秘密,其中包含非常敏感的信息。我想确保这个秘密只能由某个服务帐户访问,其他任何人都不能访问。
使用 RBAC,我可以判断哪个用户可以访问哪些资源。但是有什么方法可以告诉我这个秘密只能由这个用户访问?
问问题
44 次
2 回答
1
据我所知,没有直接的方法来获取该信息(可能需要编写一个脚本来迭代角色绑定和集群角色绑定)。
最近发现了一个名为kubectl-who-can
kubectl who-can的插件,它可以通过一个命令获取这些详细信息。
于 2022-01-20T13:34:17.957 回答
0
可以通过 Validating webhook 来完成它,其中 API 请求字段被解析并检查匹配的用户。 OPA可以用来做一些繁重的工作。
于 2022-03-01T10:44:33.507 回答