Я администрирую кластер k8s (в Google Kubernetes Engine, если это необходимо) и хотел бы применить довольно детализированную роль RBAC ко всем нашим пользователям, которые не являются учетными записями служб.
Читая документацию, я понял, что группы - это своего рода выдуманная конструкция в том смысле, что каждый пользователь просто имеет список прикрепленных к ней строк, определяющих, к каким группам он принадлежит.
Однако я не могу понять, где это на самом деле отслеживается. Нет такой вещи, как kubectl get groups. Похоже, что k8s по замыслу передаёт управление всем этим на аутсорсинг любой системе, выполняющей аутентификацию / авторизацию, но я также не могу найти, как это обрабатывает Google IAM. Я все неправильно понимаю?
С мая 2019 года можно использовать Членство групп Google в RBAC в кластерах GKE в G Suite. Пожалуйста, перейдите по ссылке для получения более подробной информации.
Раскрытие информации: я был членом команды Google, которая реализовала эту функцию.
RBAC характерная черта недоступен в группах GKE для Google. Вам нужно будет использовать Cloud IAM, чтобы назначать разрешения группам.