api - 服务帐号 - 通过 API 访问
问题描述
我创建了一个命名空间xxx
;此命名空间的角色是获取 pod、服务等。我创建了一个服务帐户yyy
和一个角色绑定yyy
到命名空间中的角色xxx
。
例如,当我尝试使用秘密令牌通过 API 检查某些内容时
curl -kD - -H "Authorization: Bearer $TOKEN https://localhost:6443/api/v1/namespaces/xxx/pods
我收到“403 禁止”错误。
因此,我将我的服务帐户的集群角色绑定yyy
到集群角色view
,之后用户当然可以看到我的命名空间的 pod,但也可以看到来自其他命名空间的其他 pod。
如何限制服务帐户yyy
只能从特定命名空间查看 pod、服务等?
解决方案
要仅允许在特定命名空间中访问,请创建角色绑定,而不是集群角色绑定:
kubectl create rolebinding my-viewer --clusterrole=view --serviceaccount=xxx:yyy -n xxx
推荐阅读
- php - 如何在 Laravel 8 中配置 Chartjs 条形堆积图
- ios - destroyPersistentStore 无法删除持久存储 - CoreData:错误:无法删除存储的支持目录
- python - 凝聚聚类层次可视化
- python - 为什么我不能在 sympy 中使用 subs?// 'list' 对象没有属性 'subs'
- mysql - Debezium MySQL Source Connector 是否支持 mysql ldap 可插拔身份验证
- reactjs - 通过 https 云功能发送推送通知
- python - Python将完整错误保存到日志文件
- wpa - 如何在为 Android 生成的 WPA 应用程序中隐藏 url 栏?
- r - Power BI ARIMA 预测自定义视觉与脚本视觉
- c# - 如何保存列表
> 作为 SQLite 表?