Назначить кластерную роль для учетной записи в openshift

Question

Назначить кластерную роль для учетной записи в openshift

У нас есть сервисная учетная запись, созданная в рамках проекта openshift oc -n platform create sa foo, Если мы опишем это, мы получим следующее:

Name:                foo
Namespace:           platform
Labels:              <none>
Annotations:         <none>
Image pull secrets:  foo-dockercfg-6gnnd
Mountable secrets:   foo-token-6f9vc
                     foo-dockercfg-6gnnd
Tokens:              foo-token-6f9vc
                     foo-token-ck6rd
Events:              <none>

С другой стороны у нас есть кластерролл project-manager со следующей конфигурацией:

apiVersion: authorization.openshift.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: 2018-11-27T09:20:32Z
  name: project-manager
  resourceVersion: "18761603"
  selfLink: /apis/authorization.openshift.io/v1/clusterroles/project-manager
  uid: b081c860-f225-11e8-acb6-005056aabe2c
rules:
- apiGroups:
  - ""
  attributeRestrictions: null
  resources:
  - namespaces
  - projects.project.openshift.io
  - resourcequotas
  verbs:
  - create
  - delete
  - get
  - list
  - patch
  - update
- apiGroups:
  - ""
  attributeRestrictions: null
  resources:
  - rolebindings.authorization.openshift.io
  - rolebindings.rbac.authorization.k8s.io
  verbs:
  - create
  - get
  - list
  - update

Я сейчас пытаюсь назначить project-manager в sa/foo

$ oc adm policy add-cluster-role-to-user project-manager system:serviceaccount:platform:foo
cluster role "project-manager" added: "system:serviceaccount:platform:foo"

Но oc adm policy who-can не показывать мне мой сервисный аккаунт:

$ oc adm policy who-can create,delete,get,list,patch,update namespaces,projects.project.openshift.io,resourcequotas -n platform
Namespace: platform
Verb:      create,delete,get,list,patch,update
Resource:  namespaces,projects.project.openshift.io,resourcequotas

Users:  USER1
        USER2
        USER3
        system:admin
        system:serviceaccount:kube-system:clusterrole-aggregation-controller

Groups: system:cluster-admins
        system:masters

$ oc adm policy who-can get,list,update rolebindings.authorization.openshift.io,rolebindings.rbac.authorization.k8s.io -n platform
Namespace: platform
Verb:      get,list,update
Resource:  rolebindings.authorization.openshift.io,rolebindings.rbac.authorization.k8s.io

Users:  USER1
        USER2
        USER3
        system:admin
        system:serviceaccount:kube-system:clusterrole-aggregation-controller

Groups: system:cluster-admins
        system:masters

Я понятия не имею, что мне здесь не хватает.

0

openshift-origin rbac

Источник

Christian Meißner 15 янв '19 в 13:01

0 ответов

Другие вопросы по тегам openshift-origin rbac