我创造了一套标准的
RBAC
政策和支持
PodSecurityPolicy
入场控制员。我知道如何创建角色和角色绑定,以允许我自己的服务帐户(例如
deployer
(帐户)到
use
这个
privileged
允许他们创建播客和其他操作的策略。
编辑
-在我最初的帖子中,我计算的是clusterroles,而不是服务账户。我已经在下面解决了这个问题。
根据统计,我的群集中有44个系统服务帐户
kubectl get serviceaccount -A | grep system | wc -l
.
每个账户的规则是否已经制定?
我可以为他们更新每一条规则
使用
这个
有特权的
但这似乎过于严厉。
使现代化
-当PSP准入控制器启用时,
kubectl
使用
有特权的
吊舱安全政策。然而,每一个其他服务帐户
使用
restricted
pop安全策略。每个需要提升权限的服务帐户都需要以某种方式更新。但我不清楚哪个服务帐户需要哪个权限。
我想要实现的是:
对于中的每个服务帐户
kube-system
命名空间,需要什么权限才能遵循
最低特权原则
.
我用的是Kubernetes v1。18.5使用KubeSpray安装。此群集正在AWS上运行。
