kubernetes RBAC DENY没有阻止访问

问题描述 投票:2回答:1

我正在运行gke 1.8.4集群,并且看到允许访问资源的请求存在问题,即使RBAC拒绝它们

from logs / kube-apiserver.log(我用<italics>替换了我的用户名和我冒充的用户名):

I1218 13:30:38.644205 5 httplog.go:64]&{<my_user> [system:authenticated] map []}充当&{<other_user> [system:authenticated] map []} I1218 13:30:38.644297 5 rbac.go:116] RBAC DENY:用户“<other_user>”组[“system:authenticated”]无法在名称空间“prod”中“列出”资源“机密” I1218 13:30:38.676079 5 wrap.go:42] GET / api / v1 / namespaces / prod / secrets:(32.043196ms)200 [[kubectl / v1.8.4(linux / amd64)kubernetes / 9befc2b]

为什么api在RBAC DENY之后进入GET(并最终返回秘密以响应我的kubectl cmd)?

我的kubectl cmd是:kubectl get secrets --namespace prod --as <other_user>

我怀疑有另一个允许它的授权者,虽然我已经做了我知道的所有事情以确保没有(ABAC应该被禁用,因为我在1.8,谷歌云控制台显示它被禁用,我'我在gcloud beta容器集群的响应中看到“legacyAbac:{}”描述)

kubernetes
1个回答
2
投票

GKE支持RBAC授权程序和咨询GKE IAM的webhook授权程序。指定的用户名是否具有通过GKE的权限?

© www.soinside.com 2019 - 2024. All rights reserved.