Kubernetes：如何让另一个人使用编辑 clusterRole 权限访问 Kubernetes 集群？

Question

我这样做了：

1. 我创建了一个服务帐号

cat <<EOF | kubectl create -f -
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: myname
...

1. 我从服务帐户中创建的秘密生成令牌：

token=$(kubectl get secrets myname-xxxx-xxxx -o jsonpath={.data.token} | base64 --decode)

1. 我为创建的 serviceAccount myname 设置凭据：
   kubectl config set-credentials myname --token=$token

2. 我创建了一个上下文 kubectl config set-context myname-context --cluster=my-cluster --user=myname

3. 然后我创建了 ~/.kube/config 的副本并删除了 cluster-admin 条目（只允许用户 myname）

4. 我将用户角色绑定到具有编辑 clusterRole 权限的特定命名空间：

cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata: 
  name: dev-access
  namespace: my-ns
roleRef: 
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: edit
subjects: 
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: myname
EOF

1. 我将编辑后的~/.kube/config 发送给想要访问集群的人，现在他可以列出 pod 但不能执行到其中：

错误

(Forbidden): pods "pod-xxxxx-xxxx" is forbidden: User "system:serviceaccount:default:myname" cannot create resource "pods/exec" in API group "" in the namespace "my-ns"

我想从一台非主机上执行此操作，该主机已将主机 ~/.kube/config 复制到其中。

谢谢

Answer 1

您拥有的RoleBinding 将ClusterRole 绑定到User 而不是ServiceAccount。错误清楚地显示了 ServiceAccount system:serviceaccount:default:myuser 所以RoleBinding 应该如下

cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata: 
  name: dev-access
  namespace: my-ns
roleRef: 
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: edit
subjects: 
  - kind: ServiceAccount
    name: myuser
    namespace: default
EOF

要验证ServiceAccount myuser 的所有权限，请使用以下命令

kubectl auth can-i --list --as=system:serviceaccount:default:myuser

要验证pods/exec 的ServiceAccount myuser 的特定权限，请使用以下命令

kubectl auth can-i create pods/exec --as=system:serviceaccount:default:myuser