TL;DR . 我想将一个角色绑定到一个用户,然后指定用户只能访问(读/写)群集A,而不是群集B或C(A,B和C都在同一个Google Cloud项目下) .
在Google Cloud上,我有一个包含多个Kubernetes集群(基于GKE)的项目 .
我需要将审核员添加到特定的Kubernetes集群(并确保他无法访问项目中的其他GKE集群) .
到目前为止,我已经创建了“审计员”角色 .
现在我需要将角色附加到特定的电子邮件帐户,我正在摸不着头脑 . 在IAM Admin page上,我可以将角色绑定到特定的电子邮件和资源类型 . 但是,'s nothing that'表示我正在将某个角色绑定到特定的特定资源 .
如何确保特定用户电子邮件只能访问特定的GKE群集?
是否应该从集群A本身内部将用户绑定到集群? (这意味着用户不会看到群集B和C) . 如果是这样,怎么样?
1 回答
您应该应用自定义角色,该角色仅允许群集列出并使用K8的RBAC功能来允许“A”群集上的审核员任务 .
查看此文档:https://kubernetes.io/docs/admin/authorization/rbac/