Kubernetes
Разрешить группе пользователей определенные действия
Пользователи с ролью k8s.user по умолчанию не могут создавать или удалять ресурсы в кластере. Однако таким пользователям можно предоставить права на выполнение определенных действий.
В инструкции описан пример предоставления прав на создание секретов для группы пользователей с ограниченной ролью. Аналогично можно предоставить права на создание других ресурсов.
Создайте ClusterRole для секретов:
Сохраните манифест в файл cloudru-group-secret-creater.yaml:
apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata:name: cloudru-group-secret-createrrules:- apiGroups: [""]resources: ["secrets"]verbs: ["create"]Выполните команду:
kubectl create -f cloudru-group-secret-creater.yaml
Чтобы назначить права группе пользователей, создайте ClusterRoleBinding:
Сохраните манифест в файл cloudru-rb-group-secret-creater.yaml:
apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRoleBindingmetadata:name: cloudru-rb-group-secret-creatersubjects:- kind: Groupname: "<id-group>"apiGroup: rbac.authorization.k8s.ioroleRef:kind: ClusterRolename: cloudru-group-secret-createrapiGroup: rbac.authorization.k8s.ioГде <id-group> — идентификатор ранее созданной группы.
Выполните команду:
kubectl create -f cloudru-rb-group-secret-creater.yaml
Теперь пользователи из группы могут создавать секреты.
Была ли статья полезной ?
Предыдущая статья
Проверить роль пользователя в Managed Kubernetes
Следующая статья
Управление кластерами в Evolution Managed Kubernetes