Как разрешения в роли GAMoud IAM реализуются в кластере kubernetes?

Question

Я запускаю приложение Kubernetes на GKE. В консоли GCP IAM я вижу несколько встроенных ролей, например, Kubernetes Engine Admin. Каждая роль имеет идентификатор и связанные с ним разрешения - например, Kubernetes Engine Admin имеет ID roles/container.admin и ~ 300 разрешений, каждое из которых имеет вид container.apiServices.create.

В кластере kubernetes я могу запустить:

kubectl get clusterrole | grep -v system:  # exclude system roles

Возвращает следующее:

NAME                                                                   AGE
admin                                                                  35d
cloud-provider                                                         35d
cluster-admin                                                          35d
cluster-autoscaler                                                     35d
edit                                                                   35d
gce:beta:kubelet-certificate-bootstrap                                 35d
gce:beta:kubelet-certificate-rotation                                  35d
gce:cloud-provider                                                     35d
kubelet-api-admin                                                      35d
view                                                                   35d

Я не вижу никаких ролей в этой таблице, которые бы отражали роли в GCP IAM.

В таком случае, как выполняются / применяются роли GAM IAM в кластере? Общается ли Kubernetes с GCP, помимо использования RBAC, при проверке разрешений?

Answer 1

RBAC наследует разрешения от IAM, поэтому будьте осторожны с этим.Если вы установите разрешение администратора кластера, например, в IAM, у вас не будет возможности предоставлять меньше разрешений через RBAC.

Если вы хотите использовать RBAC, вам нужно будет установить самое низкое разрешение дляпользователь (с учетом вашего варианта использования), а затем детально управлять разрешениями через RBAC.

Answer 2

Система RBAC позволяет вам осуществлять детальный контроль над тем, как пользователи получают доступ к ресурсам API, работающим в вашем кластере.Вы можете использовать RBAC для динамической настройки разрешений для пользователей кластера и определения типов ресурсов, с которыми они могут взаимодействовать.

Кроме того, GKE также использует Cloud Identity and Access Management (IAM) дляконтролировать доступ к вашему кластеру.

Надеюсь, это поможет!