コンテクスト
Pod の ServiceAccount にバインドされた Role は、過度に寛大な権限を付与します。次のタスクを完了して、権限のセットを減らします。
タスク
名前空間 security で実行されている web-pod という名前の既存の Pod があるとします。
Pod の ServiceAccount sa-dev-1 にバインドされている既存の Role を編集して、サービス タイプのリソースに対してのみ監視操作の実行を許可します。
名前空間セキュリティに role-2 という名前の新しいロールを作成します。これは、タイプ名前空間のリソースに対してのみ、更新操作の実行のみを許可します。
role-2-binding という名前の新しい RoleBinding を作成し、新しく作成した Role を Pod の ServiceAccount にバインドします。
Pod の ServiceAccount にバインドされた Role は、過度に寛大な権限を付与します。次のタスクを完了して、権限のセットを減らします。
タスク
名前空間 security で実行されている web-pod という名前の既存の Pod があるとします。
Pod の ServiceAccount sa-dev-1 にバインドされている既存の Role を編集して、サービス タイプのリソースに対してのみ監視操作の実行を許可します。
名前空間セキュリティに role-2 という名前の新しいロールを作成します。これは、タイプ名前空間のリソースに対してのみ、更新操作の実行のみを許可します。
role-2-binding という名前の新しい RoleBinding を作成し、新しく作成した Role を Pod の ServiceAccount にバインドします。
