Googleコンテナエンジンでホストしています。最近私のチームメイトの一人が会社を辞めて、クラスタへのアクセス権を取り消したいと思っています。彼のアカウントはすでに計算エンジンプロジェクトから削除されていますが、まだクラスタにアクセスできます。Googleコンテナエンジンのkubernetesクラスタへのアクセスを無効にします
gcloud container clusters get-credentials <cluster>からアクセスしました。私が~/.kube/configで見るエントリーは、私が全員の同僚と同じ証明書を持っているかのように見えます。
彼をクラスタから削除するには何が必要ですか?私にとっては、このトピックに関するドキュメントがゼロのようです。
追加注: クラスタがkubernetes 1.2.5
ごとのクラスタの証明書を使用する場合は、(Issue #4672を参照してください)/回転証明書を失効する方法は現在のところ存在しないに残っています。アクセスを完全に取り消す唯一の方法は、クラスタを削除して再作成することです。
Google OAuth2の認証情報を使用してクラスタにアクセスする場合(デフォルトの1.3クラスタと最新クライアント)、アクセス権はプロジェクトのIAM configurationに関連付けられ、いつでも取り消し/変更できます。
クラスタ証明書を取得するには、発信者がContainer Engine AdminとEditorロールに含まれるcontainer.clusters.getCredentials権限を持っている必要があります。チームメンバーに与えた役割に許可が含まれていない場合(例:Container Engine Developer)、クラスター証明書を取得することはできません。
GKEのアクセス許可と役割の詳細については、GKE IAM docsをご覧ください。
ありがとうございます!これがクラスタをアップグレードする理由です。 – tback
実際にOAuth2資格情報を使用してクラスタにアクセスしていることを確認するにはどうすればよいですか?誰でもクラスタごとの証明書を使用できないようにすることはできますか? – tex
'kubectl config view'の出力を見てください。各クラスタに対応する 'user 'が存在するはずです。 'user'が' auth-provider' w/'name:gcp'を持っていれば、あなたはOAuth2資格を使っています。ユーザーが 'client-certificate-data'と' client-key-data'または 'username'と' password'を持っている場合は、クラスタごとの資格情報を使用しています。 –