个人网站设计开题报告,闵行区邮编,免费公开api接口大全,建设招标项目常挂网站有哪些CKS 题库 4、RBAC - RoleBinding Context
绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。
Task
一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。 编辑绑定到 Pod 的 ServiceAccount service-account-web 的现有 Role#…CKS 题库 4、RBAC - RoleBinding Context
绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。
Task
一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。 编辑绑定到 Pod 的 ServiceAccount service-account-web 的现有 Role仅允许只对 services 类型的资源执行 get 操作。 在 namespace db 中创建一个名为 role-2 并仅允许只对 namespaces 类型的资源执行 delete 操作的新 Role。 创建一个名为 role-2-binding 的新 RoleBinding将新创建的 Role 绑定到 Pod 的 ServiceAccount。
注意请勿删除现有的 RoleBinding。 参考
https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#role-and-clusterole
https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/#一些命令行工具 解答:
切换集群
kubectl config use-context KSCH00201查看 ServiceAccount rolebinding 对应关系
kubectl -n db describe rolebindings编辑 role-1 权限
kubectl -n db edit role role-1添加如下
rules:
- apiGroups:- resources:- servicesverbs:- get检查
kubectl -n db describe role role-1在db命名空间创建名为role-2的role并且通过rolebinding绑定service-account-web只允许对namespaces做delete操作。
记住 --verb是权限可能考delete或者update等 --resource是对象可能考namespaces或者persistentvolumeclaims等。
kubectl -n db create role role-2 --verbdelete --resourcenamespaces
kubectl -n db create rolebinding role-2-binding --rolerole-2 --serviceaccountdb:service-account-web检查
kubectl -n db describe rolebindings
