を妨げないDENY kubernetes (私は< 斜体>で、私のユーザー名と私は偽装してるユーザー名を置き換えました):は、RBACは、私はRBACは、ログ/ KUBE-apiserver.logからそれら</p> <p>を否定しているにもかかわらず、GKE 1.8.4クラスタを実行し、許可されたリソースにアクセスするためのリクエストで問題を見ているアクセス
I1218 13:30:38.644205 5 httplog.go:64] & {< my_user> [ system:authenticated] map []}はとして動作しています210 { other_user < > [システム:認証] []にマップ}
I1218 13:30:38.644297 5 rbac.go:116] RBAC拒否:ユーザ "< other_user>" 基[ "システム:認証" ]名前空間 "prod"にリソース "秘密"を "リスト"できない
I1218 13:30:38.676079 5 wrap.go:42] GET/api/v1/namespaces/prod/secrets :(32.043196ms)200 [[kubectl /v1.8.4する(Linux/AMD64)kubernetes/9befc2b]
RBACはDENY(そして最終的に私のkubectlのCMDに応答して秘密を返す)した後、なぜ取得するためのAPIを進めるのですか?
FWIW私kubectl cmdがある:kubectl get secrets --namespace prod --as <other_user>
私は上だとABACは、無効にする必要があり(存在しないことを確認するために私が知っているすべてのものをやったけれども、私は、それが可能だ別の承認者があると疑われます1.8、Googleのクラウドコンソールが無効であるとして、それを示し、Iは「legacyAbacを{}」見ているのgcloudベータコンテナクラスタがを記述からの応答で)
ああ、私は完全にそれをチェックすべきでした!多数のオンラインソースを確認した後でも、私はまだwebhookオーソライザがデフォルトで有効になっていることに気づいていませんでしたが、今は意味があります 私はGKE IAMを整理します。多くのありがとうジョーダン! – eversMcc