Kubernetes RBAC cluster-admin без секретного разрешения на чтение

Question

Можно ли создать администратора кластера Kubernetes без возможности читать секреты пространства имен?

Я знаю, что вы можете создать ClusterRole и перечислить каждый отдельный ресурс и опустить секрет, но кажется не интуитивным.

Можно ли использовать Aggregated ClusterRoles для удаления разрешения? поэтому используйте ClusterRole cluster-admin и получите роль, которая использует:

rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: [""]

Answer 1

Не совсем Aggregated Cluster Roles - это набор объединений из нескольких ClusterRole с. Чтобы получить желаемое поведение, вам понадобится set вычитание роли cluster-admin за вычетом определенных вами правил. Это не поддерживается в K8s на момент написания .