我很困惑。kubectl 说我可以(通过kubectl auth can-i子命令),但是当我去执行操作时,我不能。
我已经安装kubectl在一个 docker 镜像上,该镜像运行在一个由Deployment. 当我kubectl exec -it进入那个 pod(只有一个容器)时,我得到了这个。
user@my-pod:~$ kubectl auth can-i get secrets -n myNamespace
yes
user@my-pod:~$ kubectl get secrets -n myNamespace
Error from server (Forbidden):
secrets is forbidden:
User "system:serviceaccount:myNamespace:myServiceAccount"
cannot list resource "secrets" in API group "" in the namespace "myNamespace"
这是我的服务帐户的配置方式
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: myServiceAccount
namespace: myNamespace
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myRole
namespace: myNamespace
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get", "describe"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: myRoleBinding
namespace: myNamespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: myRole
subjects:
- kind: ServiceAccount
name: myServiceAccount
namespace: myNamespace
我首先很想知道我是否使用kubectl auth can-i不正确。
其次,我希望能够授权此服务帐户进行此 API 调用。我的 yaml 中是否存在错误配置?