问IAM和RBAC在Google云容器引擎(GKE)上的冲突

EN

上下文

对Google (GKE) kubernetes集群的访问是通过Google特性管理的；

1. 管理员会邀请一个新用户(使用他们的google帐户/登录)并为他们指定一个角色。 下面的示例角色是“”，它将允许用户访问kubernetes集群并运行所有“视图”操作。
2. 用户可以在本地机器上使用gcloud auth login，然后使用gcloud container clusters get-credentials对Google进行身份验证，并让gcloud工具编写一个kubernetes配置文件，准备好使用集群。
3. 然后，用户可以使用kubectl访问集群。用上面的例子，阅读工作..。写/改不了；一切都好！

问题

GKE kubernetes集群的IAM角色非常简单，“管理、读/写、读”。

为了对kubernetes集群进行更细粒度的控制，应该在集群中使用Kubernetes RBAC，允许我将用户限制在单个名称空间、单个API端点、单个操作等。

但是，没有为用户指定IAM角色；用户无法对集群进行身份验证(RBAC是授权，而不是身份验证)。

然而，我可以设置的最低权限IAM角色是“”，因此，不管我使用Kubernetes RBAC实现了哪些限制，我的所有用户仍然拥有完全的读取权限。

问题

有没有人找到一种方法来确保GKE中的所有权限都来自RBAC，基本上取消了IAM的权限？