如何使用'kubectl auth can -i... psp‘检查是否在命名空间中授权了podsecuritypolicy的'use’?
kubectl auth can-i ... psp 命令用于检查是否在命名空间中授权了 podsecuritypolicy 的 use 权限。具体使用方法如下:
- 首先,确保已经安装并配置了 kubectl 命令行工具,并且已经连接到了目标 Kubernetes 集群。
- 打开终端或命令行界面,输入以下命令:
- 打开终端或命令行界面,输入以下命令:
- 其中,
<命名空间>是要检查的目标命名空间的名称。 - 执行命令后,kubectl 将会返回一个布尔值结果,表示是否在该命名空间中授权了 podsecuritypolicy 的 use 权限。如果返回
yes,则表示已经授权;如果返回no,则表示未授权。
需要注意的是,执行该命令需要具备足够的权限,通常需要具备集群管理员或命名空间管理员的权限才能够成功执行。
PodSecurityPolicy(PSP)是 Kubernetes 中的一种安全机制,用于定义和控制 Pod 的安全策略。它可以限制 Pod 的权限,例如禁止使用特定的容器镜像、限制 Pod 的权限等,从而提高集群的安全性。
推荐的腾讯云相关产品是腾讯云容器服务(Tencent Kubernetes Engine,TKE)。TKE 是腾讯云提供的一种托管式 Kubernetes 服务,可以帮助用户快速搭建和管理 Kubernetes 集群。您可以通过 TKE 控制台或 API 来管理和操作集群,包括 PodSecurityPolicy 的授权和管理。
了解更多关于腾讯云容器服务的信息,请访问以下链接:
请注意,本答案仅提供了腾讯云相关产品作为参考,其他云计算品牌商的类似产品也可以实现相同的功能。
相关·内容
1回答
如何使用'kubectl auth can -i... psp‘检查是否在命名空间中授权了podsecuritypolicy的'use’?
kubernetes、rbac、podsecuritypolicy
: kubectl auth --as=system:serviceaccount:mytest1:default can-i use psp 00-mytest1 我已经有了以下针对podsecuritypolicy(psp.yaml)、role (role.yaml)和rolebinding (rb.yaml)的清单,并部署在名称空间mytest1中。psp.yaml apiVersio
浏览 52提问于2021-09-09得票数 1
回答已采纳
1回答
无法覆盖GKE中的默认Pod安全策略
kubernetes、google-kubernetes-engine
我已经成功地在我的本地迷你库中实现了PodSecurityPolicies,并且在将它移植到GKE方面遇到了困难。我现在的目标很简单->不允许带有UID 0或特权访问权限的荚。: gce.privileged
所以很明显,我的默认PSP没有被使用。然后,我所做的就是在特定的名称空间中创建一个Pod,作为一个特定的ServiceAccouun
浏览 0提问于2019-03-12得票数 2
回答已采纳
1回答
通过身份验证的用户仍然可以创建Kubernetes吊舱,尽管存在限制PodSecurityPolicy。
security、kubernetes
我正试图在一个裸金属Kubernetes 1.18.3集群上开始使用PodSecurityPolicy,该集群由Keycloak提供用户管理。权限而言,一切看起来都像预期的那样,例如:kubectl
浏览 0提问于2020-08-10得票数 0
回答已采纳
1回答
代理K8S应用委托对来自其他pods的请求进行身份验证
rest、security、authentication、kubernetes、api-design
背景
我有一个具有许多不同pod的K8S集群,这些pod具有自己的特定服务帐户、集群角色和集群角色绑定,因此它们可以直接使用K8S REST API执行各种读/写请求。可以发出一些复杂的请求,我想创建一个函数来包装复杂的逻辑。然而,集群中的各种服务都是用多种(即6+)编程语言编写的,而且(目前)似乎还没有一种简单的方法来允许所有这些服务直接重用这些代码。我正在考虑创建一个“代理”微服务,它公开自己的REST API,并发出必
浏览 1提问于2019-04-26得票数 3
3回答
Kubernetes RBAC:权限不匹配
kubernetes
我在问kubernetes我是否可以做一些操作:no - no RBAC policy但是:NAME TYPE DATA
浏览 0提问于2020-05-26得票数 0
2回答
在kubeadm集群上配置PodSecurityPolicy
kubernetes、kubernetes-security
我尝试用kubeadm在一个安装在ubuntu16.04上的1.10.1集群上设置PodSecurityPolicy,并遵循了的说明
因此,我修改了/etc/kubernetes/manifests/kube-apiserver.yaml当我这样做并运行api-server时,没有列出api-server,很明显,当我获得kube-system命名空间中所有其他豆荚的列表时,我已经成功地命中了apiserver<
浏览 1提问于2018-04-15得票数 6
回答已采纳
2回答
如何将PodSecurityPolicy应用于非kube系统命名空间资源?
kubernetes
我正在测试非kube系统命名空间资源上的PodSecurityPolicy资源。首先,我确保了通过检查kube过程来启用PodSecurityPolicy:[root@master manifests]# kubectl get psp -o wide
NAME
浏览 3提问于2019-11-28得票数 0
回答已采纳
2回答
关于kubernetes权限的不一致结果
kubernetes
我正在尝试让服务帐户列出节点,但我做不到,尽管auth调用告诉我我可以(对于部署--这甚至是最糟糕的,角色允许它,但我什么也做不了):Simons-MBP:psp simon$ kubectl--as=system:serviceaccount:psp-ns:sa-test auth can-i get podsSimons-MBP:psp simon$ kubectl --# nodes
Simons-M
浏览 7提问于2020-08-14得票数 2
回答已采纳
2回答
当试图锁定命名空间时,RBAC没有按预期工作。
kubernetes、roles、kubectl、rbac
我试图使用RBAC锁定kubernetes中的命名空间,因此我遵循了这个。roleRef: name: lockdown最后,我使用下一个命令测试了授权kubectl auth can</e
浏览 1提问于2018-11-19得票数 0
回答已采纳
3回答
在Kubernetes中为kubectl创建用户
json、kubernetes、kubectl、endpoint、rbac
我需要创建用户以使用RBAC为他们分配权限,我按如下方式创建它们:bHVjaWE=cGFzcw==Secret name: lucia-secretdata: password: cGFzcw==kubectl create secret generic lucia-secret
浏览 3提问于2017-07-06得票数 15
1回答
K8s服务帐户是否有办法在不同的名称空间中创建另一个服务帐户?
kubernetes
我有一个应用程序,它与指定名称空间上的现有服务帐户(“代理”)进行交互。我希望代理能够在其他名称空间上创建额外的服务帐户和角色。是否有办法这样做?
浏览 2提问于2021-01-22得票数 1
回答已采纳
1回答
Kubernetes RBAC“被RoleBinding允许”,但“不能列出资源”
kubernetes、kubectl、rbac
我正在将一个应用程序部署到我的Kubernetes集群中,它使用Kubernetes API来列出集群中的豆荚(不仅仅是名称空间中的那些)。应用程序将驻留在自己的命名空间中。当我用kubectl auth can-in检查授权时,这个配置看起来是正确的;
$ kubectl -n kubecontrol auth</em
浏览 2提问于2020-03-26得票数 1
回答已采纳
1回答
密码卷在多节点docker设置上不起作用
kubernetes
我已经使用中的指令设置了一个多节点Kubernetes1.0.3集群。我在myns命名空间中使用以下规范创建了一个秘密卷:检查是否存在密码卷:
$ kubectl get secrets --n
浏览 1提问于2015-08-29得票数 1
4回答
Kubernetes名称空间默认服务帐户
kubernetes、rbac
如何检查默认服务帐户被授权做什么?
默认服务帐户应该处理哪些其他用例?我们可以使用它作为一个服务帐户来创建和管理名称空间中的Kubernetes部署吗?例如,我们不会使用真实的用户帐户来创建集群中的东西,因为用户来来往往。
浏览 0提问于2018-10-25得票数 26
回答已采纳
2回答
正确使用Role.rules.resourceNames创建具有有限资源访问权限的pods
kubernetes、kubernetes-pod、kubernetes-rbac
我正在尝试创建一个Pod,它能够使用Role.rules.resourceNames创建和更新特定的配置映射。我可以从pod中对API执行对资源的get请求,但不能创建资源,而是获取Error from server (Forbidden): error when如何限制serviceAccount的角色,使此pod只能操作命名的配置映射aaa我在kubernetes松弛中得
浏览 6提问于2020-12-09得票数 4
1回答
使用Kubernetes授权模式的kubectl
kubernetes
我打开了--授权模式=ABAC,并设置了一个包含如下条目的策略文件
我希望用户bob只能查看projectgino我在使用kubectl命令行作为用户Bob时遇到了问题。我跟踪了kubectl命令行代码,这个问题似乎是由kubectl在pkg/client/helper.go中调用函
浏览 4提问于2015-11-18得票数 2
回答已采纳
3回答
Kubernetes检查服务帐户权限
kubernetes、kubectl
Helm安装在一个名称空间中,并且使用角色和RoleBinding设置了RBAC。
kubectl auth can-i lis
浏览 1提问于2019-02-26得票数 63
2回答
删除kubernetes (tekton)资源-是否需要特定的RBAC?
kubernetes、rbac、tekton、tekton-pipelines
我试图删除 kubernetes配置的服务帐户上下文中的deletecollection资源,并且遇到了使用所有tekton资源访问deletecollection的特定错误。一个示例错误如下:
pipelines.tekton.dev被禁止:用户“system:serviceaccount:my-account:默认的”API组中的"tekton.dev“命名空间”my-命名空间“中的”不能删除资源管道“。我试图在这里应
浏览 3提问于2020-07-28得票数 0
1回答
Pod serviceaccount未使用定义的PSP配置文件
kubernetes
我定义了以下serviceaccount、角色和角色绑定: apiVersion: rbac.authorization.k8s.io/v1 labels: release: concourse»
浏览 0提问于2020-04-27得票数 0
1回答
Minikube的CoreDNS无法解析JVM的名称
kubernetes、dns、jvm、minikube、coredns
我们的JVM服务(基于Java 8/Scala/Finagle)在解析DNS名称时遇到问题。我检查了coredns命名空间中的kube-system部署日志,发现java.net.InetAddress.getAllByName()正在查询ANY记录类型。如果通过nslookup检查名称解析,则可以确认ANY记录类型不可解析,但A或AAAA记录如下:
# kubectl exec -i -t dnsutils --
浏览 4提问于2020-08-14得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
