为什么“Azure Kubernetes 服务 RBAC 读者”角色允许部署写入

【问题标题】:Why does 'Azure Kubernetes Service RBAC Reader' role allow deployments write为什么“Azure Kubernetes 服务 RBAC 读者”角色允许部署写入
【发布时间】:2022-01-19 17:27:10
【问题描述】:

内置的 Azure 角色Azure Kubernetes Service RBAC Reader 描述为:

Allows read-only access to see most objects in a namespace....

那为什么它允许以下操作:

Microsoft.Resources/deployments/write

描述为

Creates or updates an deployment.

这怎么不是安全问题?

【问题讨论】:

  • 您好@user3502661,如果我的回答对您有帮助,您可以点赞并接受它作为回答(点击回答旁边的复选标记,将其从灰色切换为已填充。)。这对其他社区成员可能是有益的。谢谢

标签: azure kubernetes azure-active-directory azure-aks


【解决方案1】:

如果您通过门户打开 Kubernetes 集群,您将能够看到两个字段。

  1. 操作:这会列出所有 Azure Kubernetes 服务角色。
  2. 数据操作:这是描述特定角色的主要内容,即您可以对数据执行的操作。

Microsoft.Resources/deployments/write这不属于Azure Kubernetes Service RBAC Reader角色。如果您转到 RBAC Reader 的 DataAction,则没有写入角色。此操作属于 Azure Kubernetes Service RBAC Write 角色。见下图。

注意: Microsoft.Resources 也包含 Microsoft.ContainerService/managedCluster/apps 资源

Microsoft.Resources/deployments/write 它在 Azure Kubernetes 服务 RBAC 读取器角色的操作部分而不是数据操作部分中提到。

【讨论】:

  • 那么您是说Azure Kubernetes Service RBAC Reader 文档的“操作部分”中列出的操作不一定适用?我觉得这有点令人困惑。
  • @user3502661,Action 部分是对所有 RBAC 角色的通用描述。它在 dataAction 上显示的特定 RBAC 角色。
猜你喜欢
  • 1970-01-01
  • 2021-12-14
  • 2022-01-18
  • 2020-07-07
  • 2019-08-11
  • 2019-12-21
  • 2021-07-28
  • 2019-03-27
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode