管理 kubernetes (GKE) 中的群组成员资格

管理 kubernetes (GKE) 中的群组成员资格

我正在管理一个 k8s 集群(如果重要的话,在 Google Kubernetes Engine 上),并且希望对所有不是服务帐户的用户应用相当细粒度的 RBAC 角色。

通过阅读文档,我发现组有点像是虚构的结构,因为每个用户都只附加有一串字符串,用于指定其属于哪些组。

但是,我搞不清楚这些内容实际上是在哪里被跟踪的。根本没有这样的事情kubectl get groups。似乎 k8s 在设计上将所有这些东西的管理外包给了执行身份验证/授权的系统,但我也找不到 Google IAM 是如何处理它的。我误解了整件事吗?

答案1

自 2019 年 5 月起,可以使用GKE 集群上的 RBAC 中的 Google 群组成员资格在 G Suite 中。请参阅链接了解更多详细信息。

披露:我是实施该功能的 Google 团队的成员。

答案2

RBAC特征在 GKE 上无法为 Google 群组提供此功能。您必须使用 Cloud IAM 才能为群组分配权限。

相关内容