开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

有人知道如何在kube 1.5.7中不使用RBAC的情况下为用户提供个人有限集群访问权限吗？

在kube 1.5.7中，如果不使用RBAC（Role-Based Access Control），可以通过以下步骤为用户提供个人有限集群访问权限：

创建一个新的命名空间（Namespace）来隔离用户的资源。可以使用以下命令创建命名空间：kubectl create namespace <namespace-name>
创建一个新的服务账号（ServiceAccount）来代表用户。可以使用以下命令创建服务账号：kubectl create serviceaccount <service-account-name> -n <namespace-name>
授予服务账号一些有限的权限，以便用户可以访问集群中的资源。可以使用以下命令创建一个角色（Role）并绑定到服务账号上：kubectl create role <role-name> --verb=<verbs> --resource=<resources> -n <namespace-name> kubectl create rolebinding <role-binding-name> --role=<role-name> --serviceaccount=<namespace-name>:<service-account-name> -n <namespace-name>

其中，<verbs>是允许的操作（例如：get、list、create、delete），<resources>是允许访问的资源类型（例如：pods、deployments、services）。

为用户生成访问凭证（Token）。可以使用以下命令获取服务账号的访问凭证：kubectl get secret $(kubectl get serviceaccount <service-account-name> -n <namespace-name> -o jsonpath='{.secrets[0].name}') -n <namespace-name> -o jsonpath='{.data.token}' | base64 --decode

运行以上命令后，将会返回一个访问凭证（Token），用户可以使用该凭证进行集群访问。

请注意，以上方法是在不使用RBAC的情况下为用户提供有限集群访问权限的一种方式。然而，建议在生产环境中使用RBAC来更好地管理和控制用户的访问权限。

腾讯云相关产品和产品介绍链接地址：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：https://cloud.tencent.com/product/tke
腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

利用 Open Policy Agent 实现 K8s 授权

在项目中， Kubernetes 集群会对 Kubernetes APIServer 的每个请求都进行身份验证和授权管理。在此过程中，授权管理通常由 RBAC 授权模块来实现，但开发者也可以选择其他组件，如 Open Policy Agent（OPA）。

02

k8s安全访问控制的10个关键

Kubernetes是一种用于管理容器化应用程序的自动化系统，它为开发人员提供了多种好处。它通过在现有 pod 崩溃时自动创建新 pod 来消除应用程序停机时间，并且它允许团队轻松扩展应用程序以适应流量的增加或减少。由于这些和其他功能，许多组织正在将其现有应用程序迁移到 Kubernetes。

04

Kubernetes-基于RBAC的授权

在Kubernetes中，授权有ABAC（基于属性的访问控制）、RBAC（基于角色的访问控制）、Webhook、Node、AlwaysDeny（一直拒绝）和AlwaysAllow（一直允许）这6种模式。从1.6版本起，Kubernetes 默认启用RBAC访问控制策略。从1.8开始，RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC，启用RABC。在RABC API中，通过如下的步骤进行授权：1）定义角色：在定义角色时会指定此角色对于资源的访问控制的规则；2）绑定角色：将主体与角色进行绑定，对用户进行访问授权。

03

Kubernetes-基于RBAC的授权

在Kubernetes中，授权有ABAC（基于属性的访问控制）、RBAC（基于角色的访问控制）、Webhook、Node、AlwaysDeny（一直拒绝）和AlwaysAllow（一直允许）这6种模式。从1.6版本起，Kubernetes 默认启用RBAC访问控制策略。从1.8开始，RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC，启用RABC。在RABC API中，通过如下的步骤进行授权：1）定义角色：在定义角色时会指定此角色对于资源的访问控制的规则；2）绑定角色：将主体与角色进行绑定，对用户进行访问授权。

02

理解Kubernetes的RBAC鉴权模式

对于kubernetes集群访问，用户可以使用kubectl、客户端库或构造 REST 请求，经过kubernetes的API Server组件，访问集群资源。当请求到达 API 时，它会经历多个阶段，包括认证、鉴权和准入控制，如下图所示：

04

这些用来审计 Kubernetes RBAC 策略的方法你都见过吗？

认证与授权对任何安全系统来说都至关重要，Kubernetes 也不例外。即使我们不是安全工作人员，也需要了解我们的 Kubernetes 集群是否具有足够的访问控制权限。Kubernetes 社区也越来越关注容器的安全评估（包括渗透测试，配置审计，模拟攻击），如果你是应用安全工程师，或者是安全感知的 DevOps 工程师，最好了解一下 Kubernetes 的授权模型。

01

你需要了解的Kubernetes RBAC权限

K8s RBAC 提供了三个具有隐藏权限的权限，这些权限可能会被恶意使用。了解如何控制其使用。

01

授权、鉴权与准入控制

认证过程，只是确认通信的双方都确认了对方是可信的，可以相互通信。而鉴权是确定请求方有哪些资源的权限。API Server 目前支持以下几种授权策略（通过 API Server 的启动参数 “–authorization-mode” 设置）

01

Kubernetes | 安全 - Safety

Kubernetes 作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介，也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证（Authentication）、鉴权（Authorization）、准入控制（Admission Control）三步来保证API Server的安全.

04

如何hack和保护Kubernetes

Kubernetes是一种宝贵的资源，也是全球开发流程中领先的容器管理系统，但它也不能免受恶意攻击。使用 Kubernetes 需要深入了解 Kubernetes 环境，包括在集群中创建、部署或运行应用程序时可能遇到的不同漏洞。

03

图解K8s源码 - kube-apiserver下的RBAC鉴权机制

最近有大佬问了阿巩个问题，“开发PaaS平台遇到多租户的权限管理问题该如何处理”。考虑到k8s默认提供了类似的RBAC机制，于是想着借鉴或者直接利用k8s的RBAC来实现，下面是阿巩梳理的这部分内容，特来与大伙分享也让自己对这部分知识更加深化。

01

一文读懂最佳 Kubectl 安全插件（下）

Hello folks，我是 Luga，接着上一篇博文，我们继续来解析 Kubectl 安全插件相关内容...

09

Kubernetes之RBAC权限管理

基于角色的权限控制。通过角色关联用户、角色关联权限的方式间接赋予用户权限。在 Kubernetes 中，RBAC 是通过 rbac.authorization.k8s.io API Group 实现的，即允许集群管理员通过 Kubernetes API 动态配置策略。

08

附006.Kubernetes RBAC授权

基于角色的访问控制（RBAC）是一种基于个人用户的角色来管理对计算机或网络资源的访问的方法。

05

一文读懂最佳 Kubectl 安全插件（下）

Hello folks，我是 Luga，接着上一篇博文，我们继续来解析 Kubectl 安全插件相关内容...

09

在kubernetes 集群内访问k8s API服务

所有的 kubernetes 集群中账户分为两类，Kubernetes 管理的 serviceaccount(服务账户) 和 useraccount（用户账户）。基于角色的访问控制（“RBAC”）使用“rbac.authorization.k8s.io”API 组来实现授权控制，允许管理员通过Kubernetes API动态配置策略。

03

浅谈云上攻防——Kubelet访问控制机制与提权方法研究

背景本文翻译整理自rhino安全实验室：近些年针对kubernetes的攻击呈现愈演愈烈之势，一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器，尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit 42研究人员检测到的TeamTNT组织的恶意软件Siloscape就是利用了泄露的AWS凭证或错误配置从而获得了kubelet初始访问权限后批量部署挖矿木马或窃取关键信息如用户名和密码，组织机密和内部文件，甚至控制集群中托管的整个数据库从而发起勒索攻击。根据微

03

Kubernetes 必须掌握技能之 RBAC

基于角色的访问控制（Role-Based Access Control, 即 "RBAC"）：使用 “rbac.authorization.k8s.io” API Group 实现授权决策，允许管理员通过 Kubernetes API 动态配置策略。

03

9-Kubernetes入门基础之集群安全介绍

描述: Kubernetes 作为一个分布式的集群管理工具，保证集群的安全性是非常至关重要的。同时由于API Server是集群内部各个组件通信的中介，也是外部控制的入口，所以Kubernetes的安全机制基本是就是围绕保护API Server 来进行设计的;

03

K8S：4种鉴权模块不知道怎么选？看看这篇你就懂了。

在K8S中，鉴权模块有4种，分别是：Node、ABAC、RBAC、Webhook。

00

kubernetes API 访问控制之：授权

可以使用kubectl、客户端库方式对REST API的访问，Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理，其中包含认证、授权以及准入控制（Admission Control）等。如下图所示：

01

你的Helm安全吗？

Kubernetes是目前最为流行、成为事实标准的容器集群管理平台，为容器化应用提供了部署运行、资源调度、服务发现和动态伸缩等一系列完整功能。在Kubernetes当中，用户通过使用API对象，如Pod、Service、Deployment等，来描述应用的程序规则，而这些资源对象的定义一般需要写入一系列的YAML文件中，然后通过 Kubernetes 命令行工具Kubectl进行部署。由于通常应用程序都涉及到多个Kubernetes API对象，而要描述这些API对象就可能要同时维护多个YAML文件，从而在进行 Kubernetes 软件部署时，通常会面临下述几个问题：

04

Kubernetes（k8s）权限管理RBAC详解

在K8S中支持授权有AlwaysDeny、AlwaysAllow、ABAC、Webhook、RBAC、Node共6种模式，从1.6版本起，K8S默认启用RBAC访问控制策略，目前RBAC已作为稳定的功能，管理员可以通过 Kubernetes API 动态配置策略来启用RBAC，需要在 kube-apiserver 中添加参数--authorization-mode=RBAC。

04

RBAC权限的滥用

在上一篇文章中我们讲了RBAC授权，传送门：K8s API访问控制。并且绝大多数版本的K8s都默认使用RBAC作为其默认的授权方式。那么RBAC授权在我们进行K8s集群横向移动的时候有哪些可利用点呢？本篇文章我们介绍在K8s集群横向移动时如何滥用RBAC权限，并通过滥用的RBAC权限横向获得集群的cluster-admin权限接管整个K8s集群。

04

Kubernetes K8S之鉴权RBAC详解

HTTP Token的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串来表达客户的一种方式。每一个Token对应一个用户名，存储在API Server能访问的文件中。当客户端发起API调用请求时，需要在HTTP Header里放入Token。

03

K8s API访问控制

我们在请求API Server的时候，会经历哪些步骤呢？总得来说，有如下步骤：

03

附005.Kubernetes身份认证

与Kubernetes交互通常有kubectl、客户端（Dashboard）、REST API请求。

03

Kubernetes身份认证和授权操作全攻略：上手操作Kubernetes授权

这是本系列文章中的第三篇，前两篇文章分别介绍了Kubernetes访问控制以及身份认证。本文将通过上手实践的方式，带你理解Kubernetes授权这一概念。

01

Kubernetes 集群零信任访问架构设计

现代 IT 环境日益动态化。例如，Kubernetes 正在突破许多 IT 组织的可能性。

01

Istio系列一：Istio的认证授权机制分析

随着虚拟化技术的不断发展，以容器为核心的微服务概念被越来越多人认可，Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出，许多公司以Istio的架构设计理念作为模板来管理自己的微服务系统，但在其势头发展猛劲之时，也有许多专家针对Istio的安全机制提出了疑问，比如在Istio管理下，服务间的通信数据是否会泄露及被第三方劫持的风险；服务的访问控制是否做到相对安全；Istio如何做安全数据的管理等等，这些都是Istio目前面临的安全问题，而我们只有深入分析其机制才能明白Istio是如何做安全的。

02

Argo CD 实践教程 07

在本章中，我们将探讨如何设置用户访问Argo CD的权限，以及从终端或CI/CD管道连接CLI的选项，以及如何执行基于角色的访问控制。我们将查看单点登录（SSO）选项，通常这是一个需要付费的功能，但由于Argo CD完全开源且没有商业提供，因此您可以直接使用。我们将涵盖的主要主题如下： • 声明式用户 • 服务账户 • 单点登录

02

k8s基于RBAC的认证、授权介绍和实践

在K8S中，当我们试图通过API与集群资源交互时，必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的，每个请求都需要经过合规检查，包括Authentication(身份验证)、Authorization(授权)和Admission Control(准入控制)。通过一系列验证后才能完成交互。

04

如何为K8S生产系统配置安全管理？

PX-Security：针对Kubernetes持久卷的多租户授权、身份验证和RBAC

00

【设计模式】RBAC 模型详解

在大型多人协作的系统中，如何有效地管理不同用户的访问权限，确保系统的安全性和稳定性，是每一个开发者都需要面对的挑战。为了解决这一问题，业界提出了一种被广泛应用的权限管理模型——基于角色的访问控制（Role-Based Access Control，简称RBAC）。

01

Kubernetes安全加固的几点建议

随着更多的组织开始拥抱云原生技术，Kubernetes已成为容器编排领域的行业标准。向 Kubernetes转变的这股潮流，很大程度上简化了容器化应用程序的部署、扩展和管理，并实现了自动化，为传统的单体式系统提供了胜于传统管理协议的众多优势。

03

mac 上学习k8s系列（17）rbac 源码学习（part I）

整理了下k8s 源码的核心数据结构，类图如上，可以看到核心就是Role和RoleBinding，对应到资源文件如下

00

成为K8S专家必修之路

当2021年容器化云原生炙手可热时代，但凡想在云市场分一杯羹的云厂商，K8S已经成为所有云厂商重要的ALL in 项目之一。如果在2016年的时候你是否还对Kubernetes 这么重要是否swarm更加优秀，当时我研发老板对我说的，这个东西没有什么用，你好好做DBA 做好运维就可以的时候。我已经敏锐感知到运维时代在变化。

01

使用Dex和RBAC保护对Kubernetes应用程序的访问

客座文章作者：Onkar Bhat，工程经理和 Deepika Dixit，软件工程师，Kasten by Veeam

01

2022 年 Kubernetes 高危漏洞盘点

2022 年，Kubernetes继续巩固自己作为关键基础设施领域的地位。从小型到大型组织，它已成为广受欢迎的选择。出于显而易见的原因，这种转变使 Kubernetes 更容易受到攻击。但这还没有结束，开发人员通常将Kubernetes 部署与其他云原生组件一起使用来构建一个完善的工作系统。不幸的是，这种组合会导致具有更多组件的更复杂的基础架构。这最终会增加易受攻击的表面积和范围。

01

超长干货 | Kubernetes命名空间详解

K8s使用命名空间的概念帮助解决集群中在管理对象时的复杂性问题。在本文中，会讨论命名空间的工作原理，介绍常用实例，并分享如何使用命名空间来管理K8s对象。最后，介绍名为projects的Rancher特性是如何构建并扩展命名空间的概念的。

02

【每日一个云原生小技巧 #69】Kubernetes 基于角色的访问控制

这个角色 read-only 允许用户在 mynamespace 命名空间中对 Pod 和 Pod 日志进行读取操作。

01

为了让大家能够看到K8S Dashboard DEMO，我创建了一个“只读用户”

这两天抽空搞了下Kubernetes集群和Traefik，有很多朋友私信我想要看看实际的Kubernetes集群 Dashboard Demo效果，所以简单的把这两个服务开放出来啦！

03

Cluster Hardening - RBAC

注：通过RBAC对集群进行加固 CVM CDN https://cloud.tencent.com/act?from=10680 https://cloud.tencent.com/act/seaso

07

kubernetes中如何实现权限管理

Kubernetes提供了一种基于角色的访问控制（RBAC）机制，它使用角色、角色绑定和授权规则来管理访问权限。下面是这三个概念的详细说明。

02

EMQX Enterprise 5.3 发布：审计日志、Dashboard 访问权限控制与 SSO 一站登录

新版本带来多个企业特性的更新，包括审计日志，Dashboard RBAC 权限控制，以及基于 SSO（单点登录）的一站式登录，提升了企业级部署的安全性、管理性和治理能力。此外，新版本还进行了多项改进以及 BUG 修复，进一步提升了整体性能和稳定性。

00

【每日一个云原生小技巧 #68】Kubernetes API 访问控制

假设您正在为 CI/CD 系统设置访问控制，您需要创建一个服务账户并授予它访问特定命名空间的权限。

01

Kubernetes安全态势管理(KSPM)指南

如何加固 Kubernetes 集群、增强事件响应能力以及实施纵深防御措施？在此处了解。

01

好书推荐 — Kubernetes安全分析

笔者最近在研究容器安全时读到一本关于讲述Kubernetes安全的书籍，作者为LizRice和Michael Hausenbla，两位分别来自美国容器安全厂商Aqua和云服务厂商AWS，并在容器安全研究领域上拥有丰富的软件开发，团队和产品管理经验。

03

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

虽然 Azure 在某些方面利用 Azure Active Directory，但 Azure AD 角色通常不会直接影响 Azure（或 Azure RBAC）。本文详细介绍了一个已知配置（至少对于那些深入研究过 Azure AD 配置选项的人来说），Azure Active Directory 中的全局管理员（又名公司管理员）可以通过租户选项获得对 Azure 的控制权。这是“按设计”作为“打破玻璃”（紧急）选项，可用于（重新）获得 Azure 管理员权限，如果此类访问权限丢失。在这篇文章中，我探讨了与此选项相关的危险，它当前是如何配置的（截至 2020 年 5 月）。这里的关键要点是，如果您不仔细保护和控制全局管理员角色成员资格和关联帐户，您可能会失去对所有 Azure 订阅中托管的系统以及 Office 365 服务数据的积极控制。注意：围绕此问题的大部分研究是在 2019 年 8 月至 2019 年 12 月期间进行的，自那时以来，Microsoft 可能已经在功能和/或能力方面进行了更改。

01

每周云安全资讯-2022年第26周

云原生安全 1 CVE-2022-23222漏洞及利用分析本文带来了eBPF验证器中的漏洞分析以及利用 https://tttang.com/archive/1628/ 2 Oh My API，滥用TYK云API管理隐藏恶意C2流量本文介绍滥用 TYK API 网关提供的 API 路由转发能力隐藏恶意 C2 流量技术 https://shells.systems/oh-my-api-abusing-tyk-cloud-api-management-service-to-hide-your-malici

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭