Наша строгая корпоративная политика не разрешает пользователям связывать роли с учетной записью службы.
Программно невозможно создать развертывания без учетной записи службы с соответствующими ролями.
Политики RBA C по умолчанию предоставляют области действия для компонентов, узлов и контроллеров плоскости управления, но предоставляют никаких разрешений учетным записям служб вне пространства имен kube-system (помимо разрешений на обнаружение, предоставленных всем аутентифицированным пользователям). пользователи).
Это позволяет вам при необходимости предоставлять определенные роли определенным учетным записям служб.
Именно поэтому самый безопасный способ на данный момент - это предоставление роли на учетную запись службы c, определяемую приложением, которая находится в определенном пространстве имен (и это также рекомендуется ).
Однако этого невозможно добиться при таких строгих политиках (без привязок ролей для учетных записей служб).
Надеюсь, это поможет.