Google 컨테이너 엔진에서 호스팅하고 있습니다. 최근에 팀 동료 중 한 명이 회사를 떠났으 며 클러스터에 대한 액세스 권한을 취소하려고합니다. 이미 그의 계정을 컴퓨팅 엔진 프로젝트에서 제거했지만 여전히 클러스터에 액세스 할 수 있습니다.Google 컨테이너 엔진에서 kubernetes 클러스터에 대한 액세스 권한 취소
그는 gcloud container clusters get-credentials <cluster>을 통해 액세스 할 수 있습니다. 내 ~/.kube/config에서 볼 수있는 항목은 모든 동료와 동일한 인증서를받는 것처럼 보입니다.
그를 클러스터에서 제거하려면 어떻게해야합니까? 나에게이 주제에 관한 문서가없는 것처럼 보인다.
추가 참고 :/취소하는 방법은 현재 클러스터는 Kubernetes
1.2.5 당 클러스터 인증서를 사용하여 아직 없다 회전 인증서 (Issue #4672 참조). 액세스 권한을 완전히 취소하는 유일한 방법은 클러스터를 삭제하고 다시 만드는 것입니다.
Google OAuth2 자격증 명을 사용하여 클러스터에 액세스하는 경우 (기본 클러스터/1.3 클러스터 및 최신 클라이언트) 권한은 프로젝트 IAM configuration에 연결되며 언제든지 해지/변경할 수 있습니다 .
클러스터 인증서를 검색하려면 호출자가 Container Engine Admin 및 Editor 역할에 포함 된 container.clusters.getCredentials 권한을 가지고 있어야합니다. 팀 구성원에게 제공하는 역할에 해당 권한 (예 : Container Engine Developer)이 포함되어 있지 않으면 클러스터 인증서를 검색 할 수 없습니다.
GKE 권한 및 역할에 대한 자세한 내용은 여기 GKE IAM docs입니다.
감사합니다. 이제 이것이 클러스터를 업그레이드해야하는 이유입니다. – tback
실제로 우리가 OAuth2 자격 증명을 사용하여 클러스터에 액세스하고 있음을 확인할 수 있습니까? 클러스터 별 인증서를 사용하지 못하도록 차단할 수 있습니까? – tex
'kubectl config view'의 출력을보세요. 각 클러스터에 해당하는 '사용자'가 있어야합니다. 'user'가'name : gcp'와'auth-provider'를 가지고 있다면, 당신은 OAuth2 자격 증명을 사용하고 있습니다. 사용자가'client-certificate-data'와'client-key-data' 또는'username'과'password'를 가지고 있다면, 당신은 클러스터마다 자격 증명을 사용하고 있습니다. –