kubernetes docsを確認したところ、pods/execリソースには動詞がなく、 となっていて、そのアクセスのみを制御する方法がわかりませんでしたか?私はポッドを作成するので、他の誰かがそれにアクセスする必要があります 'exec'を使用して私のクラスタ内に何も作成することはできません。pods/execのアクセスをkubernetesでのみ制御する方法ポッドなしでrbacを作成するとバインドされますか?
これを実装する方法は?
自分で解決策を見つけました。
ポッド/ execはポッドのサブリソースですので、ポッドを実行する場合は、まずポッドを取得する必要があります。ここでは私の役割定義です。
kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods", "pods/log"] verbs: ["get", "list"] - apiGroups: [""] resources: ["pods/exec"] verbs: ["create"]