Назад | Перейти на главную страницу

Ограничить SA / Role для управления секретами во всех кластерах

Я пытаюсь ограничить ServiceAccountразрешения RBAC для управления секретами во всех пространствах имен:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: gitlab-secrets-manager
rules:
- apiGroups:
  - ""
  resources:
  - secrets
  resourceNames:
  - gitlab-registry
  verbs:
  - get
  - list
  - create
  - update

Пока я создал ServiceAccount и связанный с ним CRB, однако действия не работают:

secrets "gitlab-registry" is forbidden: User "system:serviceaccount:gitlab:default" cannot get resource "secrets" in API group "" in the namespace "shamil"

Кто-нибудь знает, что мне не хватает?