rbac
Azure 读/写函数应用程序配置
人们使用哪些 Azure 内置角色来获得最小权限,使用户能够写入函数应用程序配置? 我认为需要采取的行动是:Microsoft.Web/站点/配置/写入 我检查了本网站并且唯一包含此操作的内置角色是“Logic Apps Standard Developer”? ...
rbac
rbac
Kasten k10 仪表板 504 错误
我已经在 AWS k8 上安装了 Kasten k10,并尝试从服务端口转发访问仪表板。 仪表板出现网络错误,错误日志记录在仪表板 svc pod 和网关 pod 上。 以下是网关 pod 的日志 网关 pod 日志 - “GET /k10/dashboardbff-svc/v0/licenseStatus HTTP/1.1” 200 - 0 321 68 64 “10.112.16.161” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,如 Gecko) Chro...
rbac
无法使用 veeam 在 Azure 中创建计算帐户
我无法使用 veeam 在 Azure 中创建计算帐户...我正尝试在 Azure 中创建一个新的 linux veeam 设备,但在此之前我必须创建一个 azure 计算帐户, 我的用户是全局管理员和订阅所有者,但它从不起作用...我收到错误 在此处输入图片描述 查看日志我得到了以下信息: [16.01.2024 09:59:25.412] <15> Info (3) [HttpClient] Sending request to https://login.microsoftonline.com/common/oauth2/...
rbac
有没有办法通过 rbac 或其他方式控制 kubectl exec?
我想知道我是否可以限制开发人员的访问权限,我们只想允许开发人员列出 pod 并检查日志,而不允许 ssh 进入 pod,这可行吗?这是我尝试过的,但似乎不起作用。 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: developer-role rules: - apiGroups: [""] resources: ["pods", "pods/log"] verbs: ["get", "list"] - apiGroups: [""...
rbac
监控 RBAC 访问
我需要加强 Kuberenets 中已部署 CRD 的 RBAC。我想知道我是否可以删除所有现有角色和绑定,然后监控被禁止的访问。 不幸的是,kube-apiserver 没有审计日志设置,如果可能的话,我想避免修改静态安装的 kube-apiserver。 到目前为止,我尝试从 apiserver 获取信息指标和日志。 该指标仅包含 200 和 404 请求,缺少 403 请求,没有关于调用者的信息,动词也与 k8s 术语不匹配,而这才是重要的。{code="404",component="apiserver",contentType="applicat...
rbac
如何获取 Kubernetes 用户列表?
我们已经使用 Azure (AKS) 创建了一个 Kubernetes 集群,它使用“使用 Kubernetes RBAC 的本地帐户“身份验证模式。据我们了解,从访问角度来看,这与 Azure 中的 K8s-Vanilla 非常接近。 根据我对 K8s 中基于证书的 RBAC 的理解(来自K8s 文档的“身份验证”部分),这些是创建一个新的经过认证的用户/服务帐户的适当步骤,该帐户具有查看(获取、列出、监视)K8s集群中大多数元素的权限: viewers创建一个名为内置Cluster Role 的ClusterRoleBinding view,并添加(新...
rbac
如何将kubernetes仪表板限制到一个命名空间
我已经设置了一个 microk8s k8s 集群。 我已经在 kube-system 命名空间中启用了 kubernetes 仪表板。 我有一个名为 XXX 的命名空间,我想在仪表板中显示这个命名空间,并且只显示这个命名空间。 我已经创建了服务帐户、机密、角色和角色绑定: apiVersion: v1 kind: ServiceAccount metadata: name: dashboard-account namespace: xxx kind: Role apiVersion: rbac.authorization.k8s.io/v1 me...
rbac
由于 RBAC 服务帐户问题,Kubernetes cronjob 无法创建密钥
我正在尝试通过 CronJob 自动更新 ECR 凭证并将令牌存储在机密中。每当我运行 CronJob 时,我都会在生成的作业日志中收到以下错误 2023-09-14T20:11:20.326837046Z error: failed to create secret secrets is forbidden: User "system:serviceaccount:cfh:default" cannot create resource "secrets" in API group "" in the namespace "cfh" 有趣的是,这似乎并没有...
rbac
如何使用 helm 和 terraform 向 kubernetes 仪表板添加基于用户名和密码的身份验证?
我有这个 Terraform 配置,用于将 kubernetes 仪表板部署到我的集群维基百科。 resource "helm_release" "my-kubernetes-dashboard" { name = "my-kubernetes-dashboard" repository = "https://kubernetes.github.io/dashboard/" chart = "kubernetes-dashboard" namespace = "default" set { name = "ser...
rbac
使用 Exchange Online Powershell 将特定 Exchange 角色分配给仅限应用程序的身份验证
我需要通过无人值守连接使用 ExchangeOnline Powershell 模块中的以下 cmdlet。 获取隔离消息 预览隔离消息 释放隔离消息 出口检疫信息 继此第一份文档之后https://learn.microsoft.com/en-us/powershell/exchange/app-only-auth-powershell-v2?view=exchange-ps,我使用自签名证书创建了一个 Azure App 注册,分配了“Exchange.ManageAsApp”API 权限,然后授予同意。 然后我创建了一个 Azure 安全组并将...
rbac
如何向有限的 Exchange Online 管理员授予 Microsoft 365 管理中心的访问权限?
相关内容:Exchange Online RBAC - 如何限制管理角色的读取范围?。 我们需要允许一些管理员仅管理 Exchange Online 中所有邮箱的子集;我们使用管理范围实现了这一点。 如果受限管理员访问 Exchange 管理中心 (https://admin.exchange.microsoft.com);但是,他们无法访问主 Microsoft 365 管理中心(https://admin.microsoft.com)。看起来,为了访问该权限,您必须被授予标准 Microsoft 365 管理员角色之一:仅拥有特定于 Exchange 的...
rbac
如何启用 Kubernetes 挂载路径的读取权限
我已经在笔记本电脑上运行的 CentOS VM 上的 Kind-Kubernetes 集群上安装了 FluentD。我在让 FluentD 读取日志时遇到问题,因为它抛出了以下错误。 2021-08-29 08:26:31 +0000 [warn]: #0 [tail_container_logs] /var/log/containers/myapp-77df6bfff9-jcnwc_default_myapp-4d82556157a94e991f011bac956d182e941a122b40b3d53fc67dfd6f39aef5d4.log unrea...
rbac
在 Azure 中,如何防止用户创建网络接口卡但不修改它?
我想给特定 RBAC对用户来说他可以创建 NIC,但不能修改其实目的就是让他没有权限把动态ip改成静态ip,更改网卡的ip地址。 我已经检查过NIC 的 RBAC,但似乎如果他有Microsoft.Network/networkInterfaces/write允许,他可以创建网络接口或更新现有的网络接口。所以这个Rbac并不像我想要的那么详细。 我也尝试过授予所有权限,但不行Microsoft.Network/networkInterfaces/read。在这种情况下,可以创建 NIC,但我既看不到 nic 的 ip,也看不到虚拟机的 ssh/rdp。所以...
rbac
我应该在 Azure 资源组中配置哪些附加角色,以便贡献者可以查看/接受/修复 Azure SQL 安全建议?
我们收到了针对我们的一个 Azure SQL 数据库的安全建议。我是订阅的所有者,可以在 Azure SQL 安全中心看到这些建议。我想将解决方案委托给资源组贡献者之一,但他们没有看到相同的建议。 Azure 资源组贡献者需要哪些额外权限才能查看/接受/修复该资源组中 Azure SQL 的警报? ...
rbac
无法在 EKS 中为用户配置 RBAC
我已经使用eksctl以下命令部署了 EKS本文档。 作为创建集群的用户,我拥有完全的访问控制权。 尝试system:masters向特定用户授予权限不起作用方式: kubectl edit -n kube-system configmap/aws-auth apiVersion: v1 data: mapAccounts: | - "111111111111" mapRoles: | - groups: - system:bootstrappers - system:nodes rolea...