Предоставьте права на указание c пространств имен для каждого пользователя

Question

У меня есть группа пользователей. Каждый пользователь должен иметь возможность создавать / изменять / удалять вещества в пространствах имен, таких как *-stage. Пространства имен могут быть добавлены или удалены динамически. Я могу создать ServiceAccount в каждом пространстве имен и предоставить привилегии.

Я создал pod в k8s и установил в него kubectl и s sh. Таким образом, каждый пользователь имеет доступ к этому модулю и может использовать kubectl. Я знаю, что могу смонтировать секреты ServiceAccount в стручок. Поскольку у меня разные учетные записи ServiceAccount для каждого пространства имен, я не знаю, как предоставить привилегии всем *-stage пространствам имен для каждого пользователя. Я не хочу создавать cluster-admin ClusterRoleBinding для ServiceAccount, потому что пользователи должны иметь возможность изменять только *-stage пространства имен. Можете ли вы помочь мне, пожалуйста?

Answer 1

Я публикую ответ сообщества вики на основе решения ОП для лучшей видимости:

На самом деле, я уже решил проблему. Я создаю ["*"] роль в каждом *-stage пространстве имен и привязываю ее к ServiceAccount. Затем я монтирую ServiceAccount в kubectl pod, который доступен через s sh. Таким образом, каждый пользователь имеет неограниченный доступ к *-stage пространствам имен.

Также я добавляю ссылки для официальных документов, касающихся ServiceAccount и контроля доступа на основе ролей в качестве дополнения.