我们有一个仅供测试的集群,我们希望将其用作 Github Actions 管道的一部分。我们希望管道能够在集群内做几乎任何它喜欢做的事情 - 创建/删除命名空间、资源等等。
为此,我们创建了一个 google 服务帐户(不要与 kubernetes 级服务帐户或“KSA”混淆),并为相关 GCP 项目附加了以下角色:
然后,我们在运行该操作时使用 Google 的 auth 操作 来验证此 SA。
概述的方法有效,但它会导致 SA 能够访问此特定 GCloud 项目中的“所有”集群。对于最小特权原则,我想将其限制为仅涉及相关集群。 我认为在
roles/container.developer角色分配中添加一个条件就是答案,但我一直无法让它发挥作用。文档建议我应该能够使用集群的资源名称:
https://cloud.google.com/iam/docs/conditions-resource-attributes#resource-name,但尝试失败了。我尝试了
resource.name == "projects/<project>/locations/<location>/clusters/<name>",以及各种.endsWithresource.type == "container.googleapis.com/Clusters"
而且我仍然
在尝试创建命名空间时遇到权限错误。这向我表明,尝试创建命名空间时传递的资源类型实际上并不是集群 - 因此我无法指定我想要的条件类型。 所以这让我陷入困境。我缺少什么?做这样的事情的“正确”方法是什么?
使用
RBAC(基于角色的访问控制),您可以定义哪个用户可以在集群中执行哪些操作,通过使用角色绑定,您可以限制服务帐户只能在特定集群中执行操作。 另一种方法是您可以使用
带有 IAM 的标签,它可以帮助您创建一个键值对来识别资源并应用您为用户设置的条件。
“标签是附加到Google Cloud 资源另一个解决方法是您可以尝试创建自定义角色
并设置权限以及条件,因为正如您提到的,roles/container.developer在条件
“resource.type == "container.googleapis.com/Clusters"到roles/container.developer的所有访问权限。