Согласно ducemtaion:
Учетные записи пользователей против служебных учетных записей
Kubernetes различает концепцию учетной записи пользователя и учетной записи службы по ряду причин:
Аккаунты пользователей предназначены для людей. Сервисные учетные записи предназначены для процессов, которые выполняются в модулях .
Аккаунты пользователей должны быть глобальными. Имена должны быть уникальными во всех пространствах имен кластера, будущий пользовательский ресурс не будет пространством имен. Учетные записи служб расположены в пространстве имен.
Как правило, учетные записи пользователей кластера могут синхронизироваться из корпоративной базы данных, где создание новой учетной записи пользователя требует особых привилегий и связано со сложными бизнес-процессами. Создание учетной записи службы должно быть более легким, позволяя пользователям кластера создавать учетные записи службы для конкретных задач (т. Е. Принцип наименьших привилегий) .
Вопросы аудита для людей и учетных записей служб могут отличаться.
Пакет конфигурации для сложной системы может включать определение различных учетных записей служб для компонентов этой системы. Поскольку учетные записи служб могут создаваться в произвольном порядке и иметь имена в пространстве имен, такая конфигурация переносима.
Как пример:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: secret-reader
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get", "watch", "list"]
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: read-secrets-global
subjects:
- kind: User
name: manager
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: secret-reader
apiGroup: rbac.authorization.k8s.io
Вы можете найти другую полезную информацию здесь , в официальной документации kubernetes и службе Azure Kubernetes AKS