要限制命名空间用户访问启用了RBAC的AKS群集中的TLS机密
,可以通过以下步骤实现:
- 创建命名空间:在AKS群集中创建一个新的命名空间,用于限制访问TLS机密的用户。
- 创建RBAC角色:使用Kubernetes的RBAC功能,创建一个自定义的RBAC角色,该角色将限制命名空间用户对TLS机密的访问权限。
- 绑定RBAC角色:将自定义的RBAC角色绑定到命名空间上,以确保只有具有该角色的用户才能访问TLS机密。
- 创建TLS机密:使用Kubernetes的Secret对象,创建一个TLS机密,用于存储敏感的证书和密钥信息。
- 配置TLS机密访问:通过修改命名空间的访问控制策略,限制只有具有相应RBAC角色的用户才能访问TLS机密。
- 验证访问限制:使用具有不同权限级别的用户账号进行测试,确保只有具有访问权限的用户可以成功访问TLS机密。
推荐的腾讯云相关产品:腾讯云容器服务(Tencent Kubernetes Engine,TKE)
产品介绍链接地址:https://cloud.tencent.com/product/tke
腾讯云容器服务(TKE)是腾讯云提供的一种高度可扩展的容器管理服务,基于Kubernetes技术,为用户提供了强大的容器编排和管理能力。TKE支持RBAC功能,并提供了丰富的访问控制策略,可以帮助用户实现对命名空间中TLS机密的访问限制。
相关·内容
我想限制RBAC AKS/kubernetes集群名称空间下的用户只获取秘密,而不获取TLS秘密。我的集群角色具有以下api权限。但它不起作用,我无法限制用户只获取秘密,而不是TLS秘密。代码: ------apiVersion: rbac.author
浏览 9提问于2020-03-14得票数 0
我正在运行一个GKE1.8.4集群,并且看到允许访问资源请求的问题,尽管RBAC拒绝了这些请求。>system:身份验证map[]}作为&{<other_user>系统:验证map[]} I1218 13:30:38.644297 5 rbac.go:116] RBAC拒绝:用户"<other_user>“组系统:身份验证”不能列出“资源”秘密“在命名空间"prod”I1218
浏览 2提问于2017-12-18得票数 2
回答已采纳
当将新作业和服务部署到Azure Kubernetes Service集群时,pods无法使用所有可用权限请求有效的AAD访问令牌。如果在同一天、部署之前或之后添加了新的权限,则令牌仍然不会提取它们。这解决了2/3豆荚上的问题,然而,由于权限不足,第三个豆荚一直失败。
kubectl delete namespace <namespace>来擦除具有所有可用配置的整个命名空间,并再次重新创建它。令牌的有效性不断变化,这意味着豆荚正
浏览 8提问于2021-12-22得票数 0
1回答
我已经为我的a集群创建了一个角色和角色绑定,以限制作为组一部分的用户只能查看我的命名空间中的秘密,但是不允许他们编辑机密,所以我已经将list操作添加到角色中的谓词中。但是,在应用了我的角色和角色绑定之后,组中的用户仍然能够查看和编辑我的命名空间中的秘密,我正在附加角色和角色
浏览 3提问于2022-11-03得票数 -1
我要检查库伯奈特斯的RBAC。在我看来
ServiceAccount可以绑定到命名空间(或)中的角色。ServiceAccount可以绑定到ClusterRole并具有集群范围的访问权限(所有名称空间?)单个服务帐户(或用户)是否可能没有集群范围的访问权限,而只能在名称空间的子集中进行只读访问?如果是这样的
浏览 1提问于2019-03-19得票数 2
回答已采纳
我在IBM Bluemix上的用户帐户下创建了一个kubernetes集群,并将另一个添加到我的组织中。但他看不到我的星团。是否有其他配置?
浏览 6提问于2017-09-04得票数 0
我想在Kubernetes集群中的所有名称空间中列出一个特定的资源(例如pod),但是结果只包含允许的资源。例如,假设我为某个服务帐户授予权限,以便在两个名称空间(pod ns1和ns2 )中对所有的ns2执行所有操作。这些权限包括list pods的能力。我可以用RBAC来完成这个任务。但是只获取名称空间中的pod,ns1和ns2。
如果我在所有名称空间中授予list所有pod的权限,我会得到比我
浏览 3提问于2021-08-24得票数 1
是否有可能通过Kubernetes集群中的一个角色单独允许修补资源的元数据?
我只希望允许修补命名空间的元数据,而不授予整个命名空间对象写权限。usecase允许部署管道向命名空间添加/更改注释,而不给它们完全的控制。
浏览 4提问于2022-04-05得票数 0
我有一组users(dev-team),它们只需要访问dev和qa名称空间。我创建了一个服务帐户、集群角色和集群角色绑定,如下所示。服务帐户kind: ServiceAccount name: dev-teamapiVersion: rbac.authorization.k8s.io/v1beta1metadata:rules:
- apiGroups: ["<em
浏览 1提问于2019-11-27得票数 9
回答已采纳
我在k8s中有一个保险库设置,启用了k8s auth,允许保险库代理读取秘密,并使用k8s服务帐户将它们作为环境变量导出到K8s容器中。如果我使用单个k8s命名空间,一切都很好。我无法使用A名称空间中的服务帐户,并且在通过名称空间B中的rolebinding将其附加到B名称空间后,尝试在B命名空间中使用它
步骤1-我在默认名称空间中创建了一个名为vault的服务帐户,并将其配置为k
浏览 8提问于2022-05-27得票数 1
1回答
在云生产中实际使用?
、、、
我一直在阅读服务器,以帮助我们转移到云上的集中配置服务器。目前,我们将配置和密码存储在一个有限的人在生产中可以查看访问的文件中。对于在实际生产中使用它所支持的各种后端来实现它,我有几个问题:
git :如果我们使用git作为存储介质,并且假设我们针对不同的环境有不同的分支,那么开发人员将能够查看Pro
浏览 1提问于2019-07-01得票数 0
回答已采纳
我们正在尝试创建不同的kuberentes秘密,并通过分配给pods的特定服务帐户提供对特定秘密的访问。Transaction-Service- User-Service-Pod其思想是将对User-Service-Secretsecret访问限制为分配给User-Service-Pod的User-Service服务帐户。可以在Pod启动时轻松地读取User-Service-Secret秘密,即使它分配到<e
浏览 1提问于2020-07-28得票数 1
我们正在为RBAC使用ServiceAccounts,因此在使用多个SAs时,我们可以通过RoleBindings对访问进行适当的优化。我试图想出一个解决方案,通过这个解决方案,在名称空间中创建的所有SAs都将默认获得应用到默认SA中的imagePullSecrets列表,因此当我们使用服务(通常是在SA之后)部署豆荚时,serviceAccount有没有人想出一种优雅的方法来处理这件事?我确实检查了豆荚是否可以有多个serviceAccount应用-N来容纳image
浏览 0提问于2018-09-13得票数 7
回答已采纳
我有一个用enableAzureRBAC=true配置的AKS集群
如果发出请求的身份存在于Azure AD中,Azure将与Kubernetes RBAC合作授权该请求。如果该身份不存在于Azure AD (即Kubernetes服务帐户)之外,则授权将服从
浏览 30提问于2022-10-06得票数 0
我正在尝试使用以下命令更新Kubernetes中的镜像:但是当我收到以下错误时:我已经检查了我是否
浏览 3提问于2018-08-16得票数 3
2回答
user1和user2在K8s集群中被分配了“管理员”角色,他们只能在分配给他们的命名空间中工作。在下面的示例中,分别为ns1和ns2user2 -->分配的命名空间ns2
user3 -->分配了名称空间管理员,并且还分配了名称空间管理员角色。命名空间管理角色(user3)应该能够在命名</em
浏览 2提问于2018-10-05得票数 1
我试图在我的环境中部署Istio,并遇到以下错误。所有的在线解决方案都是关于集群绑定的,我试过这样做,但还是失败了。对我的问题有什么意见吗?kubectl api-版本\ grep rbacrbac.authorization.k8s.io/v1beta1
应用install/kubernetes/istio-rbac-beta.yaml sudo kubec
浏览 4提问于2017-08-10得票数 1
我正在尝试允许我的组织中的一些用户将端口转发到Kubernetes中的生产名称空间。但是,我不希望它们能够将端口转发到所有服务。我只想限制对某些服务的访问。这个是可能的吗?kind: ClusterRolemetadata:
name: allow-port-forward-for-deployment-aresourc
浏览 0提问于2019-06-19得票数 3
回答已采纳
1回答
因此,我有一个基本的设置库伯内特斯仪表板,按照官方指示。它非常适合cluser角色服务帐户令牌。但是,当我用自己的ClusterRole和CluserRoleBinding创建另一个服务帐户时,我无法使用“身份验证失败。请再试一次”登录到仪表板。消息。2 resources: [&
浏览 0提问于2019-07-17得票数 0
回答已采纳
1回答
我正在尝试使用teh K8s java客户端在Azure上的fabric8集群上创建一个命名空间。
浏览 10提问于2017-12-26得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
