撤消对 google 容器引擎上的 kubernetes 集群的访问权限
Revoke access to kubernetes cluster on google container engine
我在 google 容器引擎上托管。最近我的一个队友离开了公司,我想撤销他对集群的访问权限。我已经从计算引擎项目中删除了他的帐户,但他仍然可以访问集群。
他通过 gcloud container clusters get-credentials <cluster> 获得访问权限。我在 ~/.kube/config 中看到的条目看起来好像我获得了与所有同事相同的证书。
我需要做什么才能将他从集群中移除?在我看来,关于这个主题的文档似乎为零。
补充说明:
集群仍在 kubernetes 1.2.5
使用集群证书时,目前无法获得 revoke/rotate 证书(参见 Issue #4672)。完全撤销访问权限的唯一方法是删除并重新创建集群。
如果您改为使用 Google OAuth2 凭据访问您的集群(默认带有 1.3 集群和最新客户端),权限将绑定到您项目的 IAM configuration,并且可以随时 revoked/changed。
获取集群证书需要调用者有container.clusters.getCredentials权限,Container Engine Admin和Editor角色包含。只要您授予团队成员的角色不包含该权限(例如 Container Engine Developer),他们将无法检索集群证书。
这里是 GKE IAM docs 有关 GKE 权限和角色的详细信息。
我在 google 容器引擎上托管。最近我的一个队友离开了公司,我想撤销他对集群的访问权限。我已经从计算引擎项目中删除了他的帐户,但他仍然可以访问集群。
他通过 gcloud container clusters get-credentials <cluster> 获得访问权限。我在 ~/.kube/config 中看到的条目看起来好像我获得了与所有同事相同的证书。
我需要做什么才能将他从集群中移除?在我看来,关于这个主题的文档似乎为零。
补充说明: 集群仍在 kubernetes 1.2.5
使用集群证书时,目前无法获得 revoke/rotate 证书(参见 Issue #4672)。完全撤销访问权限的唯一方法是删除并重新创建集群。
如果您改为使用 Google OAuth2 凭据访问您的集群(默认带有 1.3 集群和最新客户端),权限将绑定到您项目的 IAM configuration,并且可以随时 revoked/changed。
获取集群证书需要调用者有container.clusters.getCredentials权限,Container Engine Admin和Editor角色包含。只要您授予团队成员的角色不包含该权限(例如 Container Engine Developer),他们将无法检索集群证书。
这里是 GKE IAM docs 有关 GKE 权限和角色的详细信息。