Можно ли установить разрешения уровня пространства имен с помощью Google Cloud IAM на GKE?

Question

Kubernetes RBAC может использоваться для предоставления полномочий субъекту в определенном пространстве имен.Можно ли сделать то же самое с Cloud IAM?

Answer 1

Если я правильно понял, что:

Роли IAM для кластера GKE kubernetes очень просты: «Админ, Чтение / Запись, Чтение».Но вам нужен более детальный контроль над кластером kubernetes.

В этом случае:

В IAM Google Cloud есть новая функция "Альфа", которая не быладоступны ранее.

В разделе IAM> Роли

Теперь вы можете создавать собственные роли IAM с собственным набором разрешений.

Можно создать минимальныйроль, которая позволяет, например, gcloud container clusters get-credentials работать, но не более того, позволяя RBAC полностью управлять разрешениями в кластере kubernetes.

Это позволит вам получить более детальные конфигурации доступа для кластера kubernetes.

Answer 2

Не сейчас, нет.IAM используется для назначения и проверки разрешений при взаимодействии с API GCP.IAM может предоставлять доступ только к API GKE, который не учитывает пространства имен.

Как вы упомянули, RBAC - это ваш вариант для более детальных разрешений в кластере