使用 terraform 在 k8s 集群中授予 RBAC 角色

2024-03-22

我想分配RBAC向用户提供对除以下资源之外的所有资源的访问权限的规则'create' and 'delete'动词在'namespace'使用 Terraform 的资源。

目前我们的规则如下：

rule {
    api_groups = ["*"]
    resources  = ["*"]
    verbs      = ["*"]
  }

正如我们可以在角色和 ClusterRole 文档 https://kubernetes.io/docs/reference/access-authn-authz/rbac/#role-and-clusterrole，权限（规则）纯粹是附加的 - 没有“拒绝”规则：

角色和集群角色 RBAC 角色或 ClusterRole 包含表示一组权限的规则。权限纯粹是附加的（没有“拒绝”规则）。

The list of possible verbs can be found here https://kubernetes.io/docs/reference/access-authn-authz/authorization/#determine-the-request-verb:

您需要提供应用于规则中包含的资源的所有动词。
代替：

verbs      = ["*"]

提供所需的动词，例如：

verbs      = ["get", "list", "patch", "update", "watch"]

作为一个例子，我创建了一个example-role Role and an example_role_binding RoleBinding.
The example_role_binding RoleBinding授予中定义的权限example-role Role给用户john.
NOTE:有关使用以下资源的详细信息，请参阅kubernetes_角色 https://registry.terraform.io/providers/hashicorp/kubernetes/latest/docs/resources/role and kubernetes_角色_绑定 https://registry.terraform.io/providers/hashicorp/kubernetes/latest/docs/resources/role_binding资源文档。

resource "kubernetes_role" "example_role" {
  metadata {
    name      = "example-role"
    namespace = "default"
  }

  rule {
    api_groups = ["*"]
    resources  = ["*"]
    verbs      = ["get", "list", "patch", "update", "watch"]
  }
}

resource "kubernetes_role_binding" "example_role_binding" {
  metadata {
    name      = "example_role_binding"
    namespace = "default"
  }
  role_ref {
    api_group = "rbac.authorization.k8s.io"
    kind      = "Role"
    name      = "example-role"
  }

  subject {
    kind      = "User"
    name      = "john"
    api_group = "rbac.authorization.k8s.io"
  }
}

此外，我还创建了test_user.sh用于快速检查其是否按预期工作的 Bash 脚本：
NOTE:您可能需要修改变量namespace, resources, and user以满足您的需求。

$ cat test_user.sh
#!/bin/bash

namespace=default
resources="pods deployments"
user=john

echo "=== NAMESPACE: ${namespace} ==="
for verb in create delete get list patch update watch; do
    echo "-- ${verb} --"
    for resource in ${resources}; do
        echo -n "${resource}: "
        kubectl auth can-i ${verb} ${resource} -n ${namespace} --as=${user}
    done
done

$ ./test_user.sh
=== NAMESPACE: default ===
-- create --
pods: no
deployments: no
-- delete --
pods: no
deployments: no
-- get --
pods: yes
deployments: yes
-- list --
pods: yes
deployments: yes
...

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

使用 terraform 在 k8s 集群中授予 RBAC 角色的相关文章

获取 Pod 处于挂起状态的平均时间

我正在尝试使用 prometheus 计算 pod 在 grafana 中处于挂起状态的平均时间我可以使用此查询生成一个图表以获取一段时间内处于挂起状态的 Pod 数量 sum kube pod status phase phase P
使用 terraform 更新 KMS 密钥策略

有谁知道如何让 Terraform 更新现有的 KMS 密钥策略我已经创建了 KMS 密钥但我有一个需要使用现有 KMS 密钥的临时 IAM 角色我希望能够将这个新 IAM 角色添加到现有的 KMS 密钥策略中我可以看到使用 AW
删除后找回 docker-for-windows Kubernetes kubeconfig 文件

我的 Windows 版 Docker kube config设置对基于云的 K8s 集群的访问时文件被替换有没有办法重新创建它而无需重新启动 Docker for Windows Kubernetes Update我现在的 kube
Windows 持久卷上的 Kubernetes

Windows minikube 是否支持带有主机路径的持久卷如果是这样语法是什么 I tried apiVersion v1 kind PersistentVolume metadata name kbmongo002 labels
当不存在循环时，terraform destroy 会产生循环错误

地形版本 Terraform v0 12 1 地形配置文件 main tf在我的根提供程序中 provider google module organisation info source modules organisation info
如何在 Helm 图表中配置 docker 入口点

我有以下内容docker compose文件我不明白如何设置working dir and entrypoint在掌舵deployment yaml 有人有关于如何执行此操作的示例吗 docker compose version 3 5
如何获取使用 Terraform 部署的函数应用程序中的“函数 Url”？

作为 IaC 的一部分 A功能应用程序让我们命名它FuncAppX使用 Terraform 进行部署 Terraform 具有内部函数我需要访问Url使用 Terraform 在函数应用程序中实现相同的函数我在这里分享相同的屏幕截图以
oauth2-proxy 身份验证调用在 kubernetes 集群上运行缓慢，并带有 nginx 入口的身份验证注释

我们使用以下描述的方法在 K8S 集群上保护了一些服务的安全这一页 https kubernetes github io ingress nginx examples auth oauth external auth 具体来说我们有 ng
Spark 上的 Kubernetes 驱动程序 pod 清理

我在 kubernetes 1 19 上运行 Spark 3 1 1 作业完成后执行程序 Pod 就会被清理但驱动程序 Pod 仍处于完成状态驱动程序完成后如何清理要设置任何配置选项吗 NAME READY STATUS RESTA
如何在Prometheus中查询容器内存限制

我正在使用 Prometheus 工具来监控我的 Kubernetes 集群我在部署中设置了资源限制内存限制并且需要配置一个面板来显示可用的总内存请让我知道在 Prometheus 中运行以获得可用于我的部署的总内存限制所需的查询
Kubernetes 服务 IP 会变化吗？

我对 kubernetes docker 非常陌生所以如果这是一个愚蠢的问题我深表歉意我有一个正在访问一些服务的 Pod 在我的容器中我正在运行 python 脚本并需要访问该服务目前我正在使用服务的 IP 地址来执行此操作服务
为什么不推荐多区域 Kubernetes 部署？

Kubernetes 文档说支持多区域集群但不支持多区域集群同时 Kubernetes 都支持failure domain zone and failure domain region 让我的 Kubernetes 集群同时成为多专区和
如何在minikube中创建多个集群

我需要在 minikube 中创建额外的集群我搜索了一段时间没有找到任何这方面的资源如何在 minikube 中创建集群创建第一个名为cluster 1 minikube start p cluster 1 创建第二个集群名称为cl
启动 pods-kubernetes 时出错。 Pod 仍处于 ContainerCreating 状态

我已经在运行 ubuntu 的桌面上安装了带有 minikube 的 kubernetes 试用版然而启动 Pod 似乎存在一些问题 Kubectl get pods all namespaces 显示所有处于 ContainerCre
Kubernetes，无法访问其他节点服务

我正在 3 个带有 CentOS 7 的 VirtualBox 虚拟机 1 个 master 和 2 个 minions 中使用 Kubernetes 不幸的是安装手册说的是这样的every service will be accessib
如何使用 kubeadm 升级来更改 kubeadm-config 中的某些功能

我想在现有的 kubernetes 集群 v1 10 上安装 kube prometheus 在此之前文档说我需要将控制器调度器的IP地址从127 0 0 1 to 0 0 0 0 并且还推荐使用kubeadm 配置升级 https k
在 Kubernetes Pod 部署名称上添加随机字符串

我有一个模板它基本上是一个实用程序容器用于在 pod 内运行 kubectl 我想要做的是能够使用不同的名称对同一模板进行多个部署如 utilitypod randomID 中所示有没有办法通过 kubectl 和一些 shell
Terraform：如何附加服务器计数并将服务器分配给多个可用区？

main tf resource aws instance service ami lookup var aws winamis var awsregion count var count key name var key name ins
Kubernetes 滚动更新不停机？

根据https kubernetes io docs tutorials stateful application basic stateful set scaling a statefulset https kubernetes io d
找不到 Kubernetes 持久卷挂载

我正在尝试创建并安装卷但陷入困境这部分创建存储 apiVersion v1 kind PersistentVolumeClaim metadata name pvclaim2 spec accessModes ReadWriteOnce

随机推荐

为什么 ProGuard 保留 onCreate() 方法？

我试图解决这个问题但我根本不明白为什么会发生这种情况根据默认的 proguard cfg 文件我定义了以下规则 keep public class extends android app Activity 据我了解这意味着保留任何
Java 8 Streams：如何调用一次 Collection.stream() 方法并检索多个聚合值的数组[重复]

这个问题在这里已经有答案了我从 Java 8 中的 Stream API 开始这是我使用的 Person 对象 public class Person private String firstName private String la
TypeScript源码解析：获取类装饰器名称

我正在使用 TypeScript 编译器 API 来解析一些源代码并获取类引用 The Node对应于类定义的对象有一个decorators数组但我找不到获取每个装饰器名称的方法 I used 这个例子 https github com
如何在 Slack 应用程序中存储配置项

如何在 Slack 应用程序中存储永久数据例如 Opsidian 松弛应用程序 https opsidian ai connect 有一个命令来添加您的 AWS 密钥它在哪里存储这些密钥以及它如何知道为特定团队使用特定密钥这是在奥普西
git log 反向然后将结果限制为 1

我正在提交master 我需要进行下一个提交origin master git log ancestry path date order reverse HEAD origin master 或类似的git rev list命令给了我正确的
Core Plot 和 Xcode 5.1 - 如何将 Core Plot 转换为 ARC？

我刚刚安装了Xcode 5 1 发现它肯定需要项目使用ARC 我明白了 error garbage collection is no longer supported 当尝试编译 Core Plot 版本 1 4 时出于好奇我告诉 Xc
Qt 定宽字体

我需要限制自定义小部件setFont 这样它只接受固定宽度的字体但是我找不到如何以编程方式定义特定的QFont是一个固定宽度的有这样的可能吗 Perhaps bool QFontInfo fixedPitch http doc qt
将 hcluster 生成的 ndarray 转换为 Newick 字符串以与 ete2 包一起使用

我有一个通过运行创建的向量列表 import hcluster import numpy as np from ete2 import Tree vecs np array i for i in document list 其中 docum
UnknownBackend：在 emacs python 笔记本中启用内联 matplotlib 时，没有 u'inline' 的事件循环集成

我正在尝试在 emacs 中启用 python 笔记本我按照此页面的说明进行操作 https realpython com blog python emacs the best python editor https realpython
安装并添加到 PATH 后，“nosetests”在 Windows 上无法识别

I m on 艰难地学习 Python 的练习 46 http learnpythonthehardway org book ex46 html 我打算安装鼻子并运行鼻子测试我已经使用pip安装了nose 但是当我在 tests 文件夹上
如何在RStudio中更改Leaflet地图的背景？

我正在使用传单小部件创建一个闪亮的应用程序我的地图有一个简单的形状文件没有使用底图 Leaflet呈现默认的灰色背景我想将背景更改为白色我看到一些使用 javascript 代码的答案但我不熟悉如何用 R 语言实现它您可以使用
Spring bean 定义 - 获取 bean 类

我正在尝试获取 Bean 类名而不初始化 Bean 我需要知道这个类我可以从 applicationContext 获取 bean 并从 bean 实例检查类名但我想知道这个类而不实际创建初始化 bean 是否可以 Object be
Android Wear 中的语音功能

我正在尝试在 Android Wear 中添加语音功能并遵循以下 URL https developer android com training wearables apps voice html https developer andr
QPolygons边的交集/获取Qpolygon边上的所有点

我有两个闭合的 QPolygonF 我需要找出它们的边缘即它们的轮廓是否相交由于这些多边形可能相互包含在一起因此仅查看多边形的交集是行不通的 PyQt5 有一个内置函数来检查一个点是否在多边形的轮廓线上包含 QPointF x y
在 Windows 注册表中使用 ALIAS 路径时，无法从上下文菜单运行 EXE

我正在尝试将一个项目添加到 Windows 10 的上下文菜单中当我使用直接路径时例如 HKEY CLASSES ROOT Directory Background shell MySetFolders command D DOCS C
使用 C# HttpClient 登录 Salesforce

我似乎无法让这段代码工作 ServicePointManager SecurityProtocol SecurityProtocolType Tls12 HttpClient client new HttpClient client Bas
通过 Mule 4 发送电子邮件时将 JSON 数组转换为表结构格式

我需要以表格格式发送错误报告该报告需要作为电子邮件正文发送我正在将错误报告构建为 JSON 数组并且需要进行 HTML 转换以将其构造为表格格式下面是 JSON 数组和作为电子邮件正文的预期结果 templateID 72 hous
与 webpack/browserify 捆绑时如何排除代码路径？

我有一个可以与 Node js 和浏览器一起使用的库我正在使用 CommonJS 然后使用 webpack 发布网络版本我的代码如下所示 For browsers use XHR adapter if typeof window und
Flutter - 在 pubspec.yaml 中添加 pub 包

我想添加这个包 https github com jeroentrappers charts在颤振项目中为什么是这个图表因为它有负条我尝试添加这样的东西 charts flutter git url git github com je
使用 terraform 在 k8s 集群中授予 RBAC 角色

我想分配RBAC向用户提供对除以下资源之外的所有资源的访问权限的规则 create and delete 动词在 namespace 使用 Terraform 的资源目前我们的规则如下 rule api groups resources

使用 terraform 在 k8s 集群中授予 RBAC 角色

使用 terraform 在 k8s 集群中授予 RBAC 角色 的相关文章

随机推荐

热门标签

使用 terraform 在 k8s 集群中授予 RBAC 角色的相关文章