Kubernetes 如何使用RBAC控制对一类机密资源的访问？

在我的k8s集群中，下面列出了一些秘密资源

$kubectl获取机密-istio系统

名称类型

default-token-4wwkb kubernetes.io/服务帐户令牌

istio ca secret istio.io/ca root

istio-ca-service-account-token-rl4xm kubernetes.io/service-account-token

istio出口服务帐户令牌vbfwf kubernetes.io/服务帐户令牌

istio入口证书kubernetes.io/tls

istio-ingres-service-account-token-kwr85 kubernetes.io/service-account-token

istio-mixer-service-account-token-29qbb kubernetes.io/service-account-token

istio-pilot-service-account-token-t6kmf kubernetes.io/service-account-token

istio.default istio.io/密钥和证书

istio.istio-ca-service-account istio.io/key和cert

istio.istio-exit-service-account istio.io/密钥和证书

istio.istio-ingres-service-account istio.io/密钥和证书

istio.istio-mixer-service-account istio.io/key和cert

istio.istio-pilot-service-account istio.io/key和cert

istio.test-istio-sa istio.io/密钥和证书

test-istio-sa-token-4zm9k kubernetes.io/服务帐户令牌

现在，我想使用rbac控制服务帐户测试istio sa，以便测试istio sa只能访问kubernetes.io/service-account-token类型的所有机密，例如istio-ca-service-account-token-rl4xm和istio-ingress-service-account-token-kwr85

我创建了一个角色kube sa令牌读取器，并将其绑定到服务帐户test istio sa

种类：角色
apiVersion:rbac.authorization.k8s.io/v1
元数据：
名称空间：istio系统
名称：kube sa令牌读取器
规则：
-apiGroups:[“”]#“”表示核心API组
资源：[“secrets/kubernetes.io/service account token”]#授予对所有服务帐户令牌的访问权限
动词：[“获取”、“监视”、“列表”]

标记为移动到服务器故障什么是服务器故障？系统管理员/devops问题的stackexchange站点。很好！谢谢你的信息！服务帐户

system:servicecomport:istio system:test istio sa

是否实际存在？当执行

kubectl get sa-n=istio system

时，您是否看到它被列出？标记为移动到服务器故障什么是服务器故障？系统管理员/devops问题的stackexchange站点。很好！谢谢你的信息！服务帐户

system:servicecomport:istio system:test istio sa

是否实际存在？当执行

kubectl get sa-n=istio system

时，是否看到它被列出？