いくつかの名前空間があります-NS1
とNS2
を想定しています。 sa1
のNS1
とsa2
のNS2
にサービスアカウントが作成されています。 sa1
とNS1
内でsa2
およびNS2
内で何かを行うために、sa1
のロールとロールバインディングを作成しました。私が望むのは、NS2
内で特定のアクセス権を与えることです([POMEリーダーの役割のみ)。
それが可能かどうか疑問に思っていますか?
RoleBindingの別のネームスペースからServiceAccountを単純に参照できます。
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
name: pod-reader
namespace: ns2
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: pod-reader-from-ns1
namespace: ns2
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: pod-reader
subjects:
- kind: ServiceAccount
name: ns1-service-account
namespace: ns1