kubernetes RBAC拒绝不阻止访问

我正在运行一个gke 1.8.4集群，发现允许访问资源的请求存在问题，即使RBAC拒绝它们

从logs/kube-apiserver.log（我已在中替换了我的用户名和我正在模拟的用户名）：

I1218 13:30:38.644205 httplog.go:64]&{[system:authenticated]map[]}作为&{[system:authenticated]map[]}

I1218 13:30:38.644297 5 rbac.go:116]rbac拒绝：用户“组[“系统：已验证”]无法在命名空间“prod”中“列出”资源“机密”

I1218 13:30:38.676079 5 wrap.go:42]GET/api/v1/namespace/prod/secrets:（32.043196ms）200[[kubectl/v1.8.4（linux/amd64）kubernetes/9befc2b]

为什么api在RBAC拒绝后继续执行GET（并最终返回机密以响应我的kubectl cmd）

fwiw my kubectl cmd是：

kubectl get secrets——名称空间prod——as

---

我怀疑有另一个授权人允许它，尽管我已经尽了我所知的一切来确保没有（ABAC应该被禁用，因为我在1.8上，谷歌云控制台显示它被禁用，我在gcloud测试容器集群的响应中看到“legacyac:{}”）

GKE同时启用RBAC授权人和咨询GKE IAM的webhook授权人。指定的用户名是否有通过GKE的权限？

啊，我完全应该检查一下！即使在检查了大量在线来源之后，我仍然不知道默认情况下启用了webhook授权人，但它确实有一定的意义现在我要整理我们的GKE IAM了。非常感谢乔丹！