Kubernetes 如何使用RBAC控制对一类机密资源的访问?
在我的k8s集群中,下面列出了一些秘密资源 $kubectl获取机密-istio系统Kubernetes 如何使用RBAC控制对一类机密资源的访问?,kubernetes,rbac,kubernetes-security,Kubernetes,Rbac,Kubernetes Security,在我的k8s集群中,下面列出了一些秘密资源 $kubectl获取机密-istio系统 名称类型 default-token-4wwkb kubernetes.io/服务帐户令牌 istio ca secret istio.io/ca root istio-ca-service-account-token-rl4xm kubernetes.io/service-account-token istio出口服务帐户令牌vbfwf kubernetes.io/服务帐户令牌 istio入口证书kubern
名称类型
default-token-4wwkb kubernetes.io/服务帐户令牌
istio ca secret istio.io/ca root
istio-ca-service-account-token-rl4xm kubernetes.io/service-account-token
istio出口服务帐户令牌vbfwf kubernetes.io/服务帐户令牌
istio入口证书kubernetes.io/tls
istio-ingres-service-account-token-kwr85 kubernetes.io/service-account-token
istio-mixer-service-account-token-29qbb kubernetes.io/service-account-token
istio-pilot-service-account-token-t6kmf kubernetes.io/service-account-token
istio.default istio.io/密钥和证书
istio.istio-ca-service-account istio.io/key和cert
istio.istio-exit-service-account istio.io/密钥和证书
istio.istio-ingres-service-account istio.io/密钥和证书
istio.istio-mixer-service-account istio.io/key和cert
istio.istio-pilot-service-account istio.io/key和cert
istio.test-istio-sa istio.io/密钥和证书
test-istio-sa-token-4zm9k kubernetes.io/服务帐户令牌
现在,我想使用rbac控制服务帐户测试istio sa,以便测试istio sa只能访问kubernetes.io/service-account-token类型的所有机密,例如istio-ca-service-account-token-rl4xm和istio-ingress-service-account-token-kwr85
我创建了一个角色kube sa令牌读取器,并将其绑定到服务帐户test istio sa
种类:角色
apiVersion:rbac.authorization.k8s.io/v1
元数据:
名称空间:istio系统
名称:kube sa令牌读取器
规则:
-apiGroups:[“”]#“”表示核心API组
资源:[“secrets/kubernetes.io/service account token”]#授予对所有服务帐户令牌的访问权限
动词:[“获取”、“监视”、“列表”]
标记为移动到服务器故障什么是服务器故障?系统管理员/devops问题的stackexchange站点。很好!谢谢你的信息!服务帐户system:servicecomport:istio system:test istio sa
是否实际存在?当执行kubectl get sa-n=istio system
时,您是否看到它被列出?标记为移动到服务器故障什么是服务器故障?系统管理员/devops问题的stackexchange站点。很好!谢谢你的信息!服务帐户system:servicecomport:istio system:test istio sa
是否实际存在?当执行kubectl get sa-n=istio system
时,是否看到它被列出?