如何为Kubernetes创建受限访问令牌
为Kubernetes创建受限访问令牌可以通过以下步骤实现:
- 创建一个新的服务账号:在Kubernetes中,服务账号用于代表应用程序或服务与Kubernetes API进行交互。可以使用kubectl命令或Kubernetes API创建一个新的服务账号。
- 为服务账号创建一个角色:角色定义了一组权限,用于限制服务账号对Kubernetes资源的访问。可以使用kubectl命令或Kubernetes API创建一个新的角色,并将其绑定到服务账号上。
- 创建一个角色绑定:角色绑定将角色与服务账号关联起来,使得服务账号拥有角色所定义的权限。可以使用kubectl命令或Kubernetes API创建一个新的角色绑定。
- 生成访问令牌:使用kubectl命令或Kubernetes API生成一个访问令牌,该令牌将用于代表服务账号进行身份验证和授权。
- 使用访问令牌进行访问:将生成的访问令牌配置到应用程序或服务中,以便在与Kubernetes API进行交互时进行身份验证和授权。可以使用kubectl命令、Kubernetes客户端库或直接使用Kubernetes API进行访问。
受限访问令牌的创建可以提供更细粒度的权限控制,以确保只有授权的应用程序或服务可以访问Kubernetes集群中的资源。这在多租户环境中特别有用,可以限制不同的服务账号只能访问其所需的资源,提高安全性和隔离性。
腾讯云提供了一系列与Kubernetes相关的产品和服务,例如腾讯云容器服务(Tencent Kubernetes Engine,TKE),它是一种高度可扩展的容器管理服务,可帮助用户轻松部署、管理和扩展应用程序。您可以通过以下链接了解更多关于腾讯云容器服务的信息:
腾讯云容器服务:https://cloud.tencent.com/product/tke
请注意,本答案没有提及其他云计算品牌商,如有需要,可以进一步了解相关品牌商的产品和服务。
相关·内容
1回答
使用Azure服务的具有身份验证、授权和持久层的Xamarin应用程序
azure、authentication、xamarin.forms、authorization、azure-cosmosdb
我没有基于云的服务经验,因此我不知道Azure有什么好处,我可以使用。
我的计划是制作一个Xamarin.Forms应用程序,其中的功能是登录具有特定角色的用户,授权应用程序中的多个操作。
此外,应用程序应该有一个持久层来加载已经存在的数据。我发现Azure CosmosDB是一项很好的服务。
我可以使用什么Azure服务来进行身份验证和授权?如何将这两个服务结合在一起?
提前谢谢你的帮助。
浏览 2提问于2020-02-24得票数 0
1回答
测试服务 WeTest 如果给子账户授权?
腾讯云测试服务、压力测试
Wetest 服务, 下面的 压力测试 等等功能 如何给子账户授权 让子账户可以登录 腾讯云 使用此服务!
image.png
浏览 491提问于2019-04-23
1回答
如何使用服务器帐号(@kubernetes/client-node)连接kube接口
node.js、kubernetes、kubectl
我可以使用kubectl和文件config (库是@kubernetes/client-node)连接到API kube。我想在没有kubectl的conteiner中运行我的应用程序。没有文件配置,如何使用服务器账号连接到API kube?
浏览 38提问于2021-05-27得票数 1
回答已采纳
1回答
应用程序权限和oauth2授权有什么区别?
authentication、oauth、permissions、authorization、openid-connect
目前,我们已经有了一个应用程序,它是一个前端和后端分离的应用程序,前端是一个web应用程序(SPA),后端是一个web API。
对于应用程序,我们已经有使用寄存器,用户登录,用户角色,角色权限,用户检查和权限检查。
现在,我们正在集成外部标识服务(open和Oatuh2),但我误解了外部标识服务的身份验证和授权。
问题1:是的,我可以使用外部身份服务登录并获得访问令牌,但是在此之后,我仍然需要在我的应用程序中维护用户,因为对于业务,我需要知道是谁创建了订单,谁在操作它等等…那么,用户系统我在我的应用程序中做了什么,我还需要做什么,它是否纠正了我所做的?
问题2:用于授权,我仍然需要在应用程序
浏览 1提问于2019-03-27得票数 3
1回答
身份验证和粒度授权
authorization、openid-connect、roles、policy、dms
我们正在构建一个应用程序,其中的内容,即数据和文件,需要以角色和策略的方式进行细粒度的用户访问。我们使用一个身份提供者来使用oAuth2和OpenID连接。 我的问题是关于利用平台或AWS云服务的可能性,在这些平台或AWS云服务中,此类粒度授权可用。我不想在我的应用程序中构建自定义授权矩阵,而是更喜欢使用服务的API和用户角色/策略来执行进一步的操作。 当涉及到使用access中的作用域时,它们更适合于定义OpenID访问级别。
浏览 16提问于2021-05-05得票数 1
2回答
如何与非原始创建者的用户一起管理EKS集群?
amazon-web-services、kubernetes、kubectl、amazon-eks
is集群有一个奇怪的属性,就是
当创建Amazon集群时,创建集群的IAM实体(用户或角色)作为管理员被添加到Kubernetes RBAC授权表中(具有system:master权限)。最初,只有IAM用户可以使用kubectl调用Kubernetes API服务器。
我有一个EKS集群。最初创建它的用户是短暂的(我的组织使用SSO来管理AWS资源,而创建资源的IAM实体是根据需要临时创建的,然后销毁)。
这是否意味着我永远无法通过kubectl管理EKS集群?
浏览 6提问于2020-04-29得票数 1
1回答
无法以非管理用户的身份与kubectl代理连接到Kubernetes仪表板
kubernetes、kubernetes-ingress、kubernetes-dashboard
我希望允许非管理用户使用Kubernetes仪表板来查看名称空间中的K8对象。作为集群管理,我没有问题使用kubectl代理连接Kubernetes仪表板。当我第一次尝试使用对其整个命名空间具有只读访问权限的应用程序服务帐户访问它时,我收到以下错误:
{
"kind": "Status",
"apiVersion": "v1",
"metadata": {
},
"status": "Failure",
"message": "ser
浏览 0提问于2020-04-10得票数 0
1回答
Cognito授权程序组
amazon-web-services、aws-api-gateway、amazon-cognito、api-gateway
我在Angular中有一个单页应用程序,一个带有Lambda的API网关用于后端服务,Cognito用户池用于身份验证和授权。
对某些API终结点的访问取决于用户角色。您可以使用(执行API invoke for the Api Gateway资源)策略将IAM角色附加到组。
但是,在调用API之前,使用Cognito作为API Gateway的Authorizer仅检查用户是否经过了身份验证(通过在Authorization头中传递ID令牌,在成功登录后,此令牌将从Cognito用户池返回)。用户所在的组不会被用来检查它所在的组以及它所拥有的IAM权限。
有没有一个好的方法,授权我的web用
浏览 0提问于2021-04-13得票数 0
2回答
如何在GCloud集群中实现kubernetes角色中的权限?
kubernetes、google-cloud-platform、google-kubernetes-engine、rbac、google-iam
我在GKE上运行Kubernetes应用程序。在GCP IAM控制台中,我可以看到几个内置角色,例如Kubernetes Engine Admin。每个角色都有一个ID和与之关联的权限-例如,Kubernetes Engine Admin具有ID roles/container.admin和大约300个权限,每个权限都类似于container.apiServices.create。 在kubernetes集群中,我可以运行: kubectl get clusterrole | grep -v system: # exclude system roles 这将返回以下内容: NAME
浏览 35提问于2019-03-23得票数 0
3回答
新的Kubernetes服务帐户似乎具有群集管理权限。
kubernetes、google-kubernetes-engine、kubeconfig
我正在经历一个来自新创建的Kubernetes服务帐户的奇怪行为。看来,它们的令牌在我们的集群中提供了无限的访问权限。
如果我在这个名称空间中创建了一个新的名称空间,一个新的服务帐户,然后在一个新的kube配置中使用服务帐户的令牌,我就能够执行集群中的所有操作。
# SERVER is the only variable you'll need to change to replicate on your own cluster
SERVER=https://k8s-api.example.com
NAMESPACE=test-namespace
SERVICE_ACCOUNT=tes
浏览 3提问于2020-03-06得票数 3
回答已采纳
1回答
如何配置jenkins kubernetes插件访问远程GKE集群的权限
jenkins-plugins、google-kubernetes-engine、jenkins-kubernetes
我在GCE上设置了Jenkins,并从那里尝试访问GCE上的k8s集群。当我尝试测试插件上的连接时,我得到了未经授权的连接。 我已经开启了GKE API访问,在GKE上创建了服务账号,创建了角色和角色绑定。 在Jenkins上安装了kubernetes插件,并通过提供kubernetes url、证书和令牌对其进行了配置。我仍然得到以下异常- 预期到Kubernetes群集的is连接成功。 实际is -测试连接证书时出错: java.security.cert.CertificateException:无法解析证书: java.io.IOException:空输入(已禁用Https) 和 使
浏览 104提问于2019-10-16得票数 1
2回答
当试图锁定命名空间时,RBAC没有按预期工作。
kubernetes、roles、kubectl、rbac
我试图使用RBAC锁定kubernetes中的命名空间,因此我遵循了这个。
我正在开发一个裸金属集群 (no,无云提供商),并使用Ansible安装kubernetes。
我创建了名称空间:
apiVersion: v1
kind: Namespace
metadata:
name: lockdown
服务帐户:
apiVersion: v1
kind: ServiceAccount
metadata:
name: sa-lockdown
namespace: lockdown
角色:
kind: Role
apiVersion: rbac.authorization.k8s.io
浏览 1提问于2018-11-19得票数 0
回答已采纳
1回答
在gitlab CI中连接kubernetes集群的禁止错误
kubernetes、gitlab、gitlab-ci
正如在中所描述的那样,我试图在自己托管的gitlab实例中访问kubernetes集群。
deploy:
stage: deployment
script:
- kubectl create secret docker-registry gitlab-registry --docker-server="$CI_REGISTRY" --docker-username="$CI_DEPLOY_USER" --docker-password="$CI_DEPLOY_PASSWORD" --docker-email="$GITL
浏览 12提问于2021-09-15得票数 5
回答已采纳
1回答
如何用服务帐户加固k8s集群
nginx、kubernetes
我希望使用服务帐户来加强我的集群。现在,所有的吊舱都在使用默认的服务帐户。我认为我的方法是为集群中当前的pod创建一个单独的服务帐户。对我来说,现在的困惑是理解我为每个吊舱分配了哪些角色/集群角色(权限)?对于一些豆荚,我如何确定它是否需要访问集群API?
我的集群包含以下内容(为了隐私起见,我删除了IP):
kubectl get all
NAME READY STATUS RESTARTS AGE
pod/nginx-ingress-ingress-nginx-con
浏览 2提问于2022-05-24得票数 0
1回答
使用无效Azure Active访问令牌的Kubernetes吊舱
azure、kubernetes、permissions、azure-active-directory、access-token
当将新作业和服务部署到Azure Kubernetes Service集群时,pods无法使用所有可用权限请求有效的AAD访问令牌。如果在同一天、部署之前或之后添加了新的权限,则令牌仍然不会提取它们。到目前为止,通过向Active Directory组授予关键值、存储帐户和SQL数据库作用域的权限,已经发现了此问题。
示例:我有一个.NET 5.0 C# API,它运行在具有反亲和规则的3个豆荚上,每个规则位于一个单独的节点上。应用程序从SQL数据库读取信息。我发布了一个版本,然后添加了数据库权限。到目前为止,我已经尝试让应用程序重置访问令牌:
kubectl delete pods --al
浏览 8提问于2021-12-22得票数 0
1回答
AKS w Azure RBAC - Flux-Applier集群-管理ClusterRoleBinding显然无法工作
azure、kubernetes、azure-aks、flux、azure-rbac
我有一个用enableAzureRBAC=true配置的AKS集群
我正在尝试通过Flux安装入口-nginx Helm图表。
它会抛出错误
reconciliation failed: failed to get last release revision: query: failed to query with labels: secrets is forbidden: User "system:serviceaccount:nginx:flux-applier" cannot list resource "secrets" in API group
浏览 30提问于2022-10-06得票数 0
1回答
Azure RBAC和AKS未按预期工作
azure-aks、azure-rbac
我已经创建了一个AKS集群,启用了AKS管理的Azure和基于角色的访问控制(RBAC)。如果我试图通过使用包含在Admin组中的一个帐户来连接集群,那么一切都按其应有的方式工作。当我试图与一个不是Admin组成员的用户一起做这件事时,我遇到了一些困难。我所做的是:
创建了一个新用户
将Azure Kubernetes服务集群用户角色和Azure Kubernetes服务RBAC读取器分配给该用户。
执行以下命令: aks获取凭证--资源组RG1 --名称aksttest
然后执行以下命令: kubectl -n测试,得到以下错误:来自服务器的错误(禁止):禁止使用akst
浏览 1提问于2021-10-19得票数 3
2回答
在集群中的特定容器上执行命令。从另一个容器
api、curl、cron、kubernetes
在kubernetes中,我有一个容器X。我想运行一个cron作业,它在容器X中执行一个命令。
我有以下想法:
使用busybox容器运行cron作业,
在busybox容器中执行一个脚本,该脚本将:
1. determine the pod name where the execution must happen,
2. run curl, _something like_: curl
这里的动态值是:
- my\_namespace
- my\_pod\_name
- my\_sh\_command
- my\_container\_na
浏览 3提问于2017-11-30得票数 1
2回答
在AAD中注册的应用程序被拒绝访问Azure存储帐户
azure、azure-storage、monitoring、metrics
背景:我正在跟踪将自定义日志导入到Azure存储帐户中。这在资源id上失败: Azure AD对象'‘不具有执行操作’Microsoft.Insight/Metrics/write‘over’的权限。
我跟踪这个问题的原因是存储帐户访问控制( Storage Control,IAM)没有列出允许向其写入的应用程序。(注意,我创建了一个customer .NET应用程序)。
我回到了如何在中添加角色分配
不过,如果我遵循这个过程,新创建的应用程序将不会显示在Azure角色分配中。(没有服务主体,没有应用程序。)我是订阅所有者以及全球行政在AAD。
问题:,允许应用程序注册的正确过程是什么
浏览 2提问于2019-03-19得票数 1
1回答
使用Kubernetes授权模式的kubectl
kubernetes
我在Ubuntu上发送了一个运行Kubernetes的4节点集群(1主3工作人员)。我打开了--授权模式=ABAC,并设置了一个包含如下条目的策略文件
{“用户”:“bob”,“只读”:true,“命名空间”:"projectgino"}
我希望用户bob只能查看projectgino中的资源。我在使用kubectl命令行作为用户Bob时遇到了问题。当我运行以下命令时
kubectl获取pods --token=xxx --命名空间=projectgino-server=
我得到以下错误
错误:无法从服务器读取版本:服务器不允许访问请求的资源
我跟踪了k
浏览 4提问于2015-11-18得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
