У меня есть следующее определение модуля (обратите внимание на явно установленную учетную запись службы и secret ):
apiVersion: v1
kind: Pod
metadata:
name: pod-service-account-example
labels:
name: pod-service-account-example
spec:
serviceAccountName: example-sa
containers:
- name: busybox
image: busybox:latest
command: ["sleep", "10000000"]
env:
- name: SECRET_KEY
valueFrom:
secretKeyRef:
name: example-secret
key: secret-key-123
Он успешно работает. Однако если я использую ту же учетную запись службы example-sa
и попытаюсь получить example-secret
, произойдет сбой:
kubectl get secret example-secret
Error from server (Forbidden): secrets "example-secret" is forbidden: User "system:serviceaccount:default:example-sa" cannot get resource "secrets" in API group "" in the namespace "default"
Разве RBA C не применяется для модулей? Почему модуль может получить секрет, если нет?