을 방지하고, 리소스에 액세스 요청에 문제가 표시되지 거부는 Kubernetes 허용되고/KUBE-apiserver.log (나는 < 이탤릭체>에 내 이름과 내가 가장하고있어 사용자 이름을 대체 한) :은 RBAC 그들에게 로그에서</p> <p>을 거부하더라도, RBAC가 나는 GKE 1.8.4 클러스터를 실행하고있어 액세스
I1218 13 : 30 : 38.644205 5 httplog.go : 64] & {< my_user> [ system : authenticated] map []}이 (가)의 역할을합니다.210 { other_user < > [시스템 : 인증] []}
매핑
I1218 13 : 30 : 38.644297 rbac.go 5 : 116] RBAC 거부 : 사용자 "< other_user>"그룹 [ "시스템 : 인증" ] 네임 스페이스 "prod"에 리소스 "비밀"을 "나열"할 수 없습니다.
I1218 13 : 30 : 38.676079 5 wrap.go : 42 GET/api/v1/네임 스페이스/prod/secret : (32.043196ms) 200 [[kubectl /v1.8.4 (리눅스/AMD64)는 Kubernetes/9befc2b]
왜 RBAC 후 얻을 수있는 API를 진행 (그리고 궁극적으로 내 kubectl에 cmd에 응답 비밀을 반환) DENY입니까?
FWIW 내 kubectl cmd를
은 다음과 같습니다kubectl get secrets --namespace prod --as <other_user> 나는 의심 내가이없는 내가 보장하기 알고있는 모든 것을 해봤지만 내가에있어로 (ABAC는 사용하지 않아야합니다, 그것을 수있어 또 다른 권한 부여있다 1.8, 구글 클라우드 콘솔을 사용할 것으로 그것을 보여줍니다, 나는 "legacyAbac : {}"보고 있어요 gcloud 베타 컨테이너 클러스터에서 응답하는)
아, 나는 그것을 완전히 체크해야했습니다! 수많은 온라인 소스를 확인한 후에도 기본적으로 webhook 인증자가 활성화되었음을 알지 못했지만 지금은 의미가 있습니다. GAK IAM을 정리해 보겠습니다. 많은 감사 요르단! – eversMcc