2017-04-24 90 views
1

如何更改每個命名空間中創建的默認serviceaccount具有的權限?我已經嘗試將它綁定到一個沒有權限的角色,但由於權限是聯合的,它並沒有改變我能用serviceaccount標記做什麼。我想要的最終狀態將是一個默認的serviceaccount,不能訪問/ api/vi/secrets。更改默認serviceacccount的權限

有一種優雅的方式來做到這一點還是我最好與我想的權限每個命名空間創建我自己的「默認」 serviceaccount?

回答

0

您在羣集中使用了哪種授權模式和策略?

RBAC與ABAC本來不授予服務帳戶任何權限。

檢查你正在使用和刪除授予所有服務帳戶的API訪問任何規則的策略,然後將權限授予您要訪問特定的服務帳戶或服務組帳戶。

0

我們想通了,我想我會在這裏發佈解決方案。

的問題是,一旦K8S 1.6和RBAC來到GKE,他們不希望打破這種使用serviceaccounts一切,因爲他們會突然發現自己沒有任何權限。 Google所做的是他們爲用戶啓用了RBAC,但除非您在羣集上啓用了--no-enable-legacy-authorization,否則不是用於serviceaccounts。

TL; DR有沒有什麼授予默認權限servieceaccount,而這是所有serviceaccounts有充分的權限,因爲RBAC不是爲serviceaccounts啓用。