Вы просматривали Istio -> Concepts -> Security?
Есть пример под ServiceRoleBinding , который может быть тем, что вы ищете.
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
name: test-binding-products
namespace: default
spec:
subjects:
properties:
request.auth.claims[email]: "a@foo.com"
roleRef:
kind: ServiceRole
name: "products-viewer"