# RBAC 命令行工具

# kubectl create role

创建一个 Role 对象以在某个名称空间内定义权限。例子:

  • 创建一个名为 “pod-reader” 的 Role 对象,允许用户执行 “get”、“watch”、“list” 操作:

    kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods
    
    1
  • 创建一个名为 “pod-reader” 的 Role 对象并指定 resourceName:

    kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
    
    1
  • 创建一个名为 “foo” 的 Role 对象并指定 apiGroups:

    kubectl create role foo --verb=get,list,watch --resource=replicasets.apps
    
    1
  • 创建一个名为 “foo” 的 Role 对象并指定 subresource 权限:

    kubectl create role foo --verb=get,list,watch --resource=pods,pods/status
    
    1
  • 创建一个名为 “my-component-lease-holder” 的 Role 对象并指定可以 查看/更新 特定名称的资源:

    kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component
    
    1

# kubectl create clusterrole

创建 ClusterRole 对象的例子:

  • 创建一个名为 “pod-reader” 的 ClusterRole 对象,允许用户对 Pod 执行 “get”、“watch”、“list” 操作:

    kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods
    
    1
  • 创建一个名为 “pod-reader” 的 ClusterRole 对象,并指定 resourceName:

    kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
    
    1
  • 创建一个名为 “foo” 的 ClusterRole 对象,并指定 apiGroup:

    kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps
    
    1
  • 创建一个名为 “foo” 的 ClusterRole 对象,并指定 subresource 权限:

    kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status
    
    1
  • 创建一个名为 “foo” 的 ClusterRole 对象,并指定 nonResourceURL:

    kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*
    
    1
  • 创建一个名为 “monitoring” 的 ClusterRole 对象,并指定 aggregationRule:

    kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"
    
    1

# kubectl create rolebinding

创建 RoleBinding,在某个名称空间内为被授权主体绑定 RoleClusterRole。例子:

  • 在名称空间 “acme” 中,将名称为 adminClusterRole 的权限授予给用户 “bob” :

    kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
    
    1
  • 在名称空间 “acme” 中,将名称为 viewClusterRole 的权限授予给名称空间 “acme” 中名称为 “myapp” 的 service account :

    kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
    
    1
  • 在名称空间 “acme” 中,将名称为 viewClusterRole 的权限授予给名称空间 “myappnamespace” 中名称为 “myapp” 的 service account :

    kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme
    
    1

# kubectl create clusterrolebinding

在集群范围内(包括所有名称空间)授权 ClusterRole。例子:

  • 在集群范围内,将名称为 cluster-adminClusterRole 的权限授予给用户 “root”:

    kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
    
    1
  • 在集群范围内,将名称为 system:node-proxierClusterRole 的权限授予给用户 “system:kube-proxy”:

    kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy
    
    1
  • 在集群范围内,将名称为 viewClusterRole 的权限授予给名称空间 “acme” 中的 service account “myapp”:

    kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
    
    1

# kubectl auth reconcile

从描述文件创建或更新 rbac.authorization.k8s.io/v1 API 对象。

  • 描述文件中有,API Server中不存在的对象将被创建(如果对应的名称空间不存在,自动创建名称空间)。

  • 描述文件中有,API Server中已存在的对象将被更新,以包含描述文件中定义的权限(如果指定了 --remove-extra-permissions 参数,描述文件中未定义的额外的权限将被删除)。

  • 描述文件中有,API Server中已存在的绑定对象将被更新,以包含描述文件中定义的被授权主体(如果指定了 --remove-extra-subjects 参数,描述文件中未定义的额外的被授权主体将被删除)。

例子:

  • 测试描述文件中的 RBAC 对象,并显示将要执行的变更:

    kubectl auth reconcile -f my-rbac-rules.yaml --dry-run
    
    1
  • 应用描述文件中的 RBAC 对象,保留额外的权限(角色中)和额外的被授权主体(绑定中):

    kubectl auth reconcile -f my-rbac-rules.yaml
    
    1
  • 应用描述文件中的 RBAC 对象,删除额外的权限(角色中)和额外的被授权主体(绑定中):

    kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions
    
    1