kubernetes - 如何通过开放策略策略控制 Kubernetes GET 对象请求?
问题描述
opa(开放策略)可以在创建、删除或更新 Kubernetes 资源之前引用其策略。但在获取(描述或获取)时不能。如何强制执行此操作以获取请求?这是 OPA 的路线图还是准入控制器的范围?
我们想要阻止查看服务帐户令牌。
解决方案
Kubernetes 中的准入控制不允许您控制get. 它只允许您控制create、update、delete和connect。验证 webhook及其后代 RuleWithOperations的 API 文档(没有方便的链接)没有明确说明这一点,但引入 API 访问的文档明确说明了这一点。
要控制get,您需要使用授权。要使用 OPA 进行授权,您需要授权 webhook 模式。
推荐阅读
- git - 删除了 Visual Studio Code 状态栏源代码控制
- python - 赋值前已引用错误局部变量
- javascript - 在 NextJS 项目中在哪里插入 sitemap.xml 文件?
- docker - 容器化 AWS Lambda:python 处理程序无法访问 /home/app(但它可以访问 /tmp)
- node.js - Travi-ci.com 可以读取环境变量,但 travs-ci.com 不能
- javascript - 想要添加任何一个类,或者添加字体样式:斜体,到 map() 中的特定项目
- ios - LazyVStack ScrollView 性能
- python - pandas 和 nan 组团
- javascript - 强制代码暂停执行,直到带有承诺的函数结束执行 - javascript
- git - Git Ahead SSH 错误 - 无法克隆到“我的目录” - 找不到 SSH 身份文件