Идентификатор группы электронной почты содержит пользователей, которые синхронизируются с GCP из Azure AD. Через Ia C я пытаюсь подать заявку на доступ администратора уровня группы к пространству имен Kubernetes.
Мы используем групповой идентификатор электронной почты с пользователями для поддержки IAM для пространств имен. Я хочу предоставить администратору доступ к пространству имен для электронного адреса группы (списка рассылки с пользователями, связанными с электронной почтой) в k8s. Ниже приведен код. Проблема: пользователи внутри этой группы с почтовым идентификатором не получают права администратора на пространство имен. Может ли кто-нибудь помочь мне выявить проблему?
Ошибка: ошибка сервера (запрещено): deployments.apps запрещен: пользователь "devops@rock.com" не может создать ресурс "развертывания" в группе API "приложения" в пространство имен "rock-me sh": Требуется разрешение "container.deployments.create".
---
apiVersion: v1
kind: Namespace
metadata:
labels:
name: rock-mesh
istio-injection: enabled
name: rock-mesh
spec:
finalizers:
- kubernetes
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: admin
namespace: rock-mesh
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: kubectl-admin
namespace: rock-mesh
roleRef:
kind: Role
name: admin
apiGroup: rbac.authorization.k8s.io
subjects:
- kind: Group
name: rockrockconnectivitylist@rock.com
---