Как назначить RBA C разрешения для системы: анонимная учетная запись службы в Kubernetes?
Чтобы понять Kubernetes, я хочу назначить разрешения для проверки учетной записи службы system:anonymous
разрешения с использованием kubectl auth can-i --list
.
Я создал следующую роль и привязку роли:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: anonymous-review-access
rules:
- apiGroups:
- authorization.k8s.io
resources:
- selfsubjectaccessreviews
- selfsubjectrulesreviews
verbs:
- create
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: anonymous-review-access
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: anonymous-review-access
subjects:
- kind: ServiceAccount
name: anonymous
namespace: default
После kubectl apply -f ...
выше, мне все еще не разрешено анонимно просматривать разрешения на доступ:
$ kubectl auth can-i --list --as=system:anonymous -n default
Error from server (Forbidden): selfsubjectrulesreviews.authorization.k8s.io is forbidden: User "system:anonymous" cannot create resource "selfsubjectrulesreviews" in API group "authorization.k8s.io" at the cluster scope
Как создать правильную роль и привязку роли для просмотра разрешений как system:anonymous
учетной записи службы?