Я создал пространство имен xxx;роль этого пространства имен заключается в получении пакетов, служб и т. д. Я создал учетную запись службы yyy и привязку роли yyy к роли в пространстве имен xxx.
Когда я пытаюсь что-то проверитьчерез API с секретным токеном, например
curl -kD - -H "Authorization: Bearer $TOKEN https://localhost:6443/api/v1/namespaces/xxx/pods
Я получаю ошибку «403 запрещено».
Итак, я привязываю роль кластера моей учетной записи службы yyy к роли кластераview, и после этого, конечно, пользователь может видеть модули моего пространства имен, но также может видеть другие модули из других пространств имен.
Как ограничить учетную запись службы yyy т. Е. Увидеть модули, службы и т. Д.только из определенного пространства имен?