tg-me.com/k8security/332
Last Update:
А сегодня, в продолжении прошлого поста, давайте посмотрим на kubectl exec
или на POST
запрос /api/v1/namespaces/{namespace}/pods/{name}/exec
кому как удобнее и приятнее - с точки зрения RBAC
.
И тут для начала нужно вспомнить, что некоторые Kubernetes ресурсы имеют так называемые subresource, к которым как раз и относится exec
, как и те же logs
, attach
, portforward
и т.д. По итогу, чтобы пользователь мог делать exec
ему необходимо иметь pods/exec:
- apiGroups: [""]Ну или "
resources: ["pods/exec"]
verbs: ["create"]
*
" в графе resources
;)Помните о "
subresource
" и управляйте правами в соответствии с принципом наименьших привилегий (Principle of least privilege
).BY k8s (in)security
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Share with your friend now:
tg-me.com/k8security/332