Я пытаюсь ограничить ServiceAccount
разрешения RBAC для управления секретами во всех пространствах имен:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: gitlab-secrets-manager
rules:
- apiGroups:
- ""
resources:
- secrets
resourceNames:
- gitlab-registry
verbs:
- get
- list
- create
- update
Пока я создал ServiceAccount и связанный с ним CRB, однако действия не работают:
secrets "gitlab-registry" is forbidden: User "system:serviceaccount:gitlab:default" cannot get resource "secrets" in API group "" in the namespace "shamil"
Кто-нибудь знает, что мне не хватает?