如何通过开放策略策略控制kubernetes GET对象请求?
How to policy control kubernetes GET object request via open policy?
opa(open policy)可以在kubernetes资源创建、删除或更新之前参考它的policy..但是在get(describe或get)的时候就不行了。如何执行此操作以获得请求?这是在 OPA 的路线图中还是在准入控制器的范围内?
我们想阻止查看服务帐户令牌。
Kubernetes 中的准入控制不允许您控制 get。它只允许您控制 create、update、delete 和 connect。 validating webhook and its descendent RuleWithOperations (no handy link) don't make this clear, but the docs introducing API access 的 API 文档明确说明了这一点。
要控制get,您需要使用authorization. To use OPA for authorization you would need the authorization webhook mode。
opa(open policy)可以在kubernetes资源创建、删除或更新之前参考它的policy..但是在get(describe或get)的时候就不行了。如何执行此操作以获得请求?这是在 OPA 的路线图中还是在准入控制器的范围内?
我们想阻止查看服务帐户令牌。
Kubernetes 中的准入控制不允许您控制 get。它只允许您控制 create、update、delete 和 connect。 validating webhook and its descendent RuleWithOperations (no handy link) don't make this clear, but the docs introducing API access 的 API 文档明确说明了这一点。
要控制get,您需要使用authorization. To use OPA for authorization you would need the authorization webhook mode。