授予Kubernetes集群中的pod访问Google storage的权限(RBAC/IAM)
我做了一些研究,但在K8s文档中找不到答案。是否可以安排Kubernetes集群中的某些豆荚可以访问集群之外的其他某些资源,而不授予整个集群的权限?
例如:一个吊舱从Google存储中访问数据。为了不硬编码一些凭据,我希望它能够通过RBAC/IAM访问它,但另一方面,我不希望集群中的另一个pod能够访问相同的存储。
共有1个答案
不幸的是,只有一种方法可以做到这一点,你写的它看起来对你来说不安全。我在文档中找到了一个例子,他们使用的方式是将服务凭证存储在秘密帐户中,然后从秘密在pod中使用它。
-
问题内容: 我知道我可以使用视图来授予对表中属性子集的访问权限。但是,如何只授予对特定元组的访问权限?假设我有一个注册学生的表格,一个用户名属性,然后是诸如degree_status之类的其他名称,我如何授予访问权限,以便用户A只能从该表中选择一个与用户名A相对应的元组?我有一个数据库考试,正在研究一些以前的论文,遇到了这个问题,但是我不知道该如何回答,我在《 Dtabase System:数据库
-
Kubernetes 从 1.6 开始支持基于角色的访问控制机制(Role-Based Access,RBAC),集群管理员可以对用户或服务账号的角色进行更精确的资源访问控制。在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角
-
根据用户部署和暴露服务的方式不同,有很多种方式可以用来访问 kubernetes 集群。 最简单也是最直接的方式是使用 kubectl 命令。 其次可以使用 kubeconfig 文件来认证授权访问 API server。 通过各种 proxy 经过端口转发访问 kubernetes 集群中的服务 使用 Ingress,在集群外访问 kubernetes 集群内的 service
-
在 Kubernetes 集群内访问 TiDB 时,使用 TiDB service 域名 ${cluster_name}-tidb.${namespace} 即可。 若需要在集群外访问,则需将 TiDB 服务端口暴露出去。在 TidbCluster CR 中,通过 spec.tidb.service 字段进行配置: spec: ... tidb: service: ty
-
使用IAM策略模拟器时,似乎必须提供对完整密钥arn的访问(),而不是别名() 有没有更好的办法来管理这个? 我知道我可以使用密钥策略管理对CMKs的访问,并且不允许从IAM进行访问,但是您不能在KMS密钥策略中使用组作为
-
我的应用程序使用可访问性权限,每次运行它时,我都需要手动授予权限,这很乏味,是否有一个选项可以通过某些命令授予我的应用程序此权限,仅用于调试目的?非常感谢。