Хотите ограничить доступ пользователей пространства имен к секретам TLS в RBA C Включенный кластер AKS

Question

Я хочу ограничить пользователей в соответствии с RBA C Пространство имен кластера AKS / kubernetes для получения только секретов, но не секретов TLS. У меня есть роль кластера со следующими разрешениями API. Но это не работает. Я не могу запретить пользователям получать только секреты, а не секреты TLS.

Код:

---
#ClusterRole-NamespaceAdmin-RoleGranter
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # "namespace" omitted since ClusterRoles are not namespaced
  name: clusterrole-ns-admin
rules:
  # "Pods" rules
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch", "create", "update", "delete"]
  # "Nodes" rules - Node rules are effective only on cluster-role-binding
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get", "list", "watch", "create", "update", "delete"]
  # "Secrets" rules
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "list", "watch", "create","update", "delete"]
  # "TLS Secrets" rules
- apiGroups: [""]
  resources: ["secrets"]
  resourceNames: ["kubernetes.io/tls"]
  verbs: ["get", "watch", "list"]

Заранее спасибо!

Answer 1

Короткий ответ - это невозможно. В Kubernetes есть только добрый Secret ресурс, и вы можете применить RBA C к виду. Для TLS не существует отдельного вида.