can-i 测试 RBAC 权限

Kubectl Rbac Can-I

最后更新时间 (CST)：2023-09-21 06:05:01 +0800

RBAC 遵循 Who 拥有对哪些 Resources 进行哪些 Action 的权限。

我们使用 auth can-i 快速验证 rbac 权限是否生效。

创建如下资源：

# create clusterrole
kubectl create clusterrole clusterrole-name --verb=get,list,watch --resource=deployments,statefulsets,daemonsets

# create serviceaccount
kubectl create serviceaccount sa-name -n app

# create rolebinding
kubectl create rolebinding rolebinding-name --clusterrole=clusterrole-name --serviceaccount=app:sa-name

权限校验 auth can-i

$ kubectl auth can-i create deployment --as system:serviceaccount:app:sa-name
no

$ kubectl auth can-i create deployment -n app --as system:serviceaccount:app:sa-name
yes

如未另行说明，那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可，并且代码示例已根据 Apache 2.0 许可获得了许可。内容随着时间推移，可能会过期，会定时更新或移除一些旧的内容。

最后更新时间 (CST)：2023-09-21

can-i 测试 RBAC 权限

欢迎使用 Cloud Shell