Kubernetes ABAC模式不工作

Question

我发现有几个人试图解决这个问题，只是一些与here和here相关的帖子，但没有为我解决这个问题。

问题:我想使用ABAC策略为我的集群创建一个只读用户。我的集群有3个主服务器和3个工作人员，1.4.7版本托管在AWS上。

我在所有3个主目录上编辑了清单/apiserver.yml(添加了这3行--当然，我在文件底部挂载了相关路径等等)：

• --token-auth-file=/etc/kubernetes/policy/user-tokens.csv
• -授权模式=ABAC
• --authorization-policy-file=/etc/kubernetes/policy/apiusers.yml

我的apiuser.yml看起来是这样的：

{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"group": "system:authenticated", "readonly": true, "nonResourcePath": "*", "namespace": "*", "resource": "*", "apiGroup": "*"}}

我的用户-Token.csv如下所示：

tdU0ynyO3wG6UAzwWP0DO7wvF2tH8pbH,bob,bob

我的kubeconfig文件包含以下内容：

users:
- name: bob
  user:
    token: tdU0ynyO3wG6UAzwWP0DO7wvF2tH8pbH

当我尝试kubectl get nodes失败时，我可以用-v=8打印输出，如果它是相关的，但它基本上是Forbidden(403)。在我看来，我在这里缺少一些基本的东西，政策已经到位，阻碍了一切和每个人，尽管它应该允许通过身份验证的用户只读取权限。

任何类型的帮助或建议都将不胜感激。

Answer 1

system:authenticated组在1.5中被添加

在1.5之前，您可以使用"user":"*"