%20%E4%B8%AD%E7%9A%84%E7%BE%A4%E7%BB%84%E6%88%90%E5%91%98%E8%B5%84%E6%A0%BC.png)
我正在管理一个 k8s 集群(如果重要的话,在 Google Kubernetes Engine 上),并且希望对所有不是服务帐户的用户应用相当细粒度的 RBAC 角色。
通过阅读文档,我发现组有点像是虚构的结构,因为每个用户都只附加有一串字符串,用于指定其属于哪些组。
但是,我搞不清楚这些内容实际上是在哪里被跟踪的。根本没有这样的事情kubectl get groups。似乎 k8s 在设计上将所有这些东西的管理外包给了执行身份验证/授权的系统,但我也找不到 Google IAM 是如何处理它的。我误解了整件事吗?
答案1
自 2019 年 5 月起,可以使用GKE 集群上的 RBAC 中的 Google 群组成员资格在 G Suite 中。请参阅链接了解更多详细信息。
披露:我是实施该功能的 Google 团队的成员。
答案2
RBAC特征在 GKE 上无法为 Google 群组提供此功能。您必须使用 Cloud IAM 才能为群组分配权限。