Я создал что-то вроде стандартного набора политик RBA C и включил контроллер доступа PodSecurityPolicy. Я знаю, как создавать роли и привязки ролей, чтобы разрешить моим собственным учетным записям служб (например, учетной записи deployer) use политику privileged, позволяющую им создавать модули и другие действия.
Edit - Я подсчитал кластерные роли вместо сервисных аккаунтов в своем первоначальном посте. Я исправил это ниже.
В моем кластере 44 учетных записи системных служб согласно kubectl get serviceaccount -A | grep system | wc -l. Правила для каждой учетной записи уже определены? Я мог бы обновить каждое правило для них до use политики privileged, но это кажется слишком жестким.
Обновить - Когда контроллер доступа PSP включен, kubectl использует политику безопасности модуля privileged. Однако любая другая учетная запись службы использует политику безопасности restricted pop. Каждую учетную запись службы, для которой требуются повышенные разрешения, необходимо каким-либо образом обновить. Но какая учетная запись службы и какое разрешение мне не ясно.
Чего я хочу достичь: Для каждой учетной записи службы в пространстве имен kube-system какие разрешения необходимы, чтобы я мог следуйте принципу наименьших привилегий .
Я использую Kubernetes v1.18.5, установленный с помощью KubeSpray. Этот кластер работает на AWS.