Cloud Pokročilý
Kubernetes RBAC¶
KubernetesRBACSecurity 3 min čtení
Role-Based Access Control v Kubernetes. Roles, ClusterRoles, bindings a service accounts.
Koncept¶
RBAC řídí kdo (Subject) může co (Verb) s čím (Resource). Roles pro namespace, ClusterRoles pro celý cluster.
Příklad¶
# Role — read-only přístup k podům
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: production
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs: ["get", "list", "watch"]
---
# Binding
kind: RoleBinding
metadata:
namespace: production
name: read-pods
subjects:
- kind: User
name: [email protected]
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
Best practices¶
- Principle of least privilege
- Namespace-scoped Roles kde možné
- Service Account per aplikace
- Pravidelný audit RBAC
Shrnutí¶
RBAC je základ bezpečnosti K8s. Vždy konfigurujte — default service account má příliš mnoho práv.
Potřebujete pomoct s implementací?¶
Náš tým má zkušenosti s návrhem a implementací moderních architektur. Rádi vám pomůžeme.