kubectl --token=$TOKEN 没有 运行 令牌的权限
kubectl --token=$TOKEN doesn't run with the permissions of the token
当我使用带有 --token 标志的命令 kubectl 并指定令牌时,它仍然使用 kubeconfig 文件中的管理员凭据。
这是我所做的:
NAMESPACE="default"
SERVICE_ACCOUNT_NAME="sa1"
kubectl create sa $SERVICE_ACCOUNT_NAME
kubectl create clusterrolebinding list-pod-clusterrolebinding \
--clusterrole=list-pod-clusterrole \
--serviceaccount="$NAMESPACE":"$SERVICE_ACCOUNT_NAME"
kubectl create clusterrole list-pod-clusterrole \
--verb=list \
--resource=pods
TOKEN=`kubectl get secrets $(kubectl get sa $SERVICE_ACCOUNT_NAME -o json | jq -r '.secrets[].name') -o json | jq -r '.data.token' | base64 -d`
# Expected it will fail but it doesn't because it uses the admin credentials
kubectl get secrets --token $TOKEN
令牌具有列出 pods 的权限,所以我预计 kubectl get secrets --token $TOKEN 会失败,但不会失败,因为它仍然使用管理员的上下文。
我不创建新的上下文,我知道 kubectl 有使用不记名令牌的能力并且想了解如何做。
我也试过这个kubectl get secrets --insecure-skip-tls-verify --server https://<master_ip>:6443 --token $TOKEN但它也没有return Forbidden 结果。
如果你测试它你可以使用katacoda:
https://www.katacoda.com/courses/kubernetes/playground
编辑:
我试着用这个来创建上下文:
NAMESPACE="default"
SERVICE_ACCOUNT_NAME="sa1"
CONTEXT_NAME="sa1-context"
USER_NAME="sa1-username"
CLUSTER_NAME="kubernetes"
kubectl create sa "$SERVICE_ACCOUNT_NAME" -n "$NAMESPACE"
SECRET_NAME=`kubectl get serviceaccounts $SERVICE_ACCOUNT_NAME -n $NAMESPACE -o json | jq -r '.secrets[].name'`
TOKEN=`kubectl get secrets $SECRET_NAME -n $NAMESPACE -o json | jq -r '.data | .token' | base64 -d`
# Create user with the JWT token of the service account
echo "[*] Setting credentials for user: $USER_NAME"
kubectl config set-credentials $USER_NAME --token=$TOKEN
# Makue sure the cluster name is correct !!!
echo "[*] Setting context: $CONTEXT_NAME"
kubectl config set-context $CONTEXT_NAME \
--cluster=$CLUSTER_NAME \
--namespace=$NAMESPACE \
--user=$USER_NAME
但是当我尝试 kubectl get secrets --context $CONTEXT_NAME 它仍然成功并且应该失败,因为它没有权限。
此命令将帮助您验证服务帐户的授权。
kubectl auth can-i <verb> <resources> --as=system:serviceaccount:<namespace>:<service account name>
kubectl auth can-i get pods --as=system:serviceaccount:default:default
这很棘手,因为如果您使用客户端证书对 kubernetes 进行身份验证 API 服务器使用 kubectl 覆盖令牌将不会起作用,因为使用证书的身份验证发生在 TLS [=19] 过程的早期=] 如果您在 kubectl 中提供令牌,它将是 ignored.This 是您能够获取机密的原因,因为客户端证书有权获取机密并且令牌被忽略。
因此,如果您想使用 kubectl 令牌,kubeconfig 文件不应包含客户端证书,然后您可以在 Kubectl 中使用 --token 标志覆盖该令牌。请参阅 中关于如何为服务帐户令牌创建 kubeconfig 文件的讨论。
您还可以使用命令查看在 kubectl 命令中发送的不记名令牌
kubectl get pods --v=10 2>&1 | grep -i bearer
当我使用带有 --token 标志的命令 kubectl 并指定令牌时,它仍然使用 kubeconfig 文件中的管理员凭据。
这是我所做的:
NAMESPACE="default"
SERVICE_ACCOUNT_NAME="sa1"
kubectl create sa $SERVICE_ACCOUNT_NAME
kubectl create clusterrolebinding list-pod-clusterrolebinding \
--clusterrole=list-pod-clusterrole \
--serviceaccount="$NAMESPACE":"$SERVICE_ACCOUNT_NAME"
kubectl create clusterrole list-pod-clusterrole \
--verb=list \
--resource=pods
TOKEN=`kubectl get secrets $(kubectl get sa $SERVICE_ACCOUNT_NAME -o json | jq -r '.secrets[].name') -o json | jq -r '.data.token' | base64 -d`
# Expected it will fail but it doesn't because it uses the admin credentials
kubectl get secrets --token $TOKEN
令牌具有列出 pods 的权限,所以我预计 kubectl get secrets --token $TOKEN 会失败,但不会失败,因为它仍然使用管理员的上下文。
我不创建新的上下文,我知道 kubectl 有使用不记名令牌的能力并且想了解如何做。
我也试过这个kubectl get secrets --insecure-skip-tls-verify --server https://<master_ip>:6443 --token $TOKEN但它也没有return Forbidden 结果。
如果你测试它你可以使用katacoda:
https://www.katacoda.com/courses/kubernetes/playground
编辑:
我试着用这个来创建上下文:
NAMESPACE="default"
SERVICE_ACCOUNT_NAME="sa1"
CONTEXT_NAME="sa1-context"
USER_NAME="sa1-username"
CLUSTER_NAME="kubernetes"
kubectl create sa "$SERVICE_ACCOUNT_NAME" -n "$NAMESPACE"
SECRET_NAME=`kubectl get serviceaccounts $SERVICE_ACCOUNT_NAME -n $NAMESPACE -o json | jq -r '.secrets[].name'`
TOKEN=`kubectl get secrets $SECRET_NAME -n $NAMESPACE -o json | jq -r '.data | .token' | base64 -d`
# Create user with the JWT token of the service account
echo "[*] Setting credentials for user: $USER_NAME"
kubectl config set-credentials $USER_NAME --token=$TOKEN
# Makue sure the cluster name is correct !!!
echo "[*] Setting context: $CONTEXT_NAME"
kubectl config set-context $CONTEXT_NAME \
--cluster=$CLUSTER_NAME \
--namespace=$NAMESPACE \
--user=$USER_NAME
但是当我尝试 kubectl get secrets --context $CONTEXT_NAME 它仍然成功并且应该失败,因为它没有权限。
此命令将帮助您验证服务帐户的授权。
kubectl auth can-i <verb> <resources> --as=system:serviceaccount:<namespace>:<service account name>
kubectl auth can-i get pods --as=system:serviceaccount:default:default
这很棘手,因为如果您使用客户端证书对 kubernetes 进行身份验证 API 服务器使用 kubectl 覆盖令牌将不会起作用,因为使用证书的身份验证发生在 TLS [=19] 过程的早期=] 如果您在 kubectl 中提供令牌,它将是 ignored.This 是您能够获取机密的原因,因为客户端证书有权获取机密并且令牌被忽略。
因此,如果您想使用 kubectl 令牌,kubeconfig 文件不应包含客户端证书,然后您可以在 Kubectl 中使用 --token 标志覆盖该令牌。请参阅
您还可以使用命令查看在 kubectl 命令中发送的不记名令牌
kubectl get pods --v=10 2>&1 | grep -i bearer