基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源:
- Pods
- PV
- ConfigMaps
- Deployments
- Nodes
- Secrets
- Namespaces
资源与api group关联(如pods属于core api group,deployments属于apps api group)。
在RBAC中的几个概念:
- Rules:规定一组可以在不同api group上的资源执行的规则(verbs)
- Role与ClusterRoles:都是包括一组规则(rules)两者不同在于,Role针对的是一个namespace中,ClusterRoles针对整个集群
- Subject:有三种Subjects,Service Account、User Account、Groups,参照官方文档主要区别是User Account针对人,Service Accounts针对运行在Pods中运行的进程。
- RoleBindings与ClusterRoleBindins:将Subject绑定到Role或ClusterRoles。其区别在于:RoleBinding将使规则在命名空间内生效,而ClusterRoleBinding将使规则在所有命名空间中生效。