Реализуя RBAC, пользователь по умолчанию сохраняет доступ даже после применения roleBinding

Question

Я хочу реализовать RBAC для каждого пользователя.У меня уже запущен OIDC, и я вижу, что мои учетные данные сохраняются в конфигурации kube.Но чтобы проверить мои ролевые привязки, я должен выполнить команду как kubectl get pods --as=user@email.com, хотя я вошел как user@email.com (через gcloud init).Я являюсь владельцем учетной записи в нашем облаке, но я предполагал, что ограничения RBAC все еще должны работать.

Answer 1

Я являюсь владельцем учетной записи в нашем облаке, но я предполагал, что ограничения RBAC все еще должны работать.

RBAC является только аддитивным.Если у вас есть разрешения через другого настроенного авторизатора, у вас все еще будут эти разрешения, даже если у вас есть меньшие разрешения через RBAC.

Answer 2

Помимо учетных данных, вы должны настроить контекст kubectl, чтобы связать эти учетные данные с кластером.И установить его в качестве контекста по умолчанию:

Сначала перечислите кластеры kubectl с помощью k config get-clusters

Затем создайте новый контекст:

kubectl config set-context my-new-context --cluster <CLUSTER NAME> --user="user@email.com"

И, наконец, настройте новыйконтекст по умолчанию:

kubectl config use-context my-new-context