# RBAC 命令行工具

# kubectl create role

创建一个 Role 对象以在某个名称空间内定义权限。例子：

创建一个名为 “pod-reader” 的 Role 对象，允许用户执行 “get”、“watch”、“list” 操作：
```
kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods
```
1

创建一个名为 “pod-reader” 的 Role 对象并指定 resourceName：

kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

创建一个名为 “foo” 的 Role 对象并指定 apiGroups：

kubectl create role foo --verb=get,list,watch --resource=replicasets.apps

创建一个名为 “foo” 的 Role 对象并指定 subresource 权限：

kubectl create role foo --verb=get,list,watch --resource=pods,pods/status

创建一个名为 “my-component-lease-holder” 的 Role 对象并指定可以查看/更新特定名称的资源：

kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component

创建 ClusterRole 对象的例子：

创建一个名为 “pod-reader” 的 ClusterRole 对象，允许用户对 Pod 执行 “get”、“watch”、“list” 操作：
```
kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods
```
1

创建一个名为 “pod-reader” 的 ClusterRole 对象，并指定 resourceName：

kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

创建一个名为 “foo” 的 ClusterRole 对象，并指定 apiGroup：

kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps

创建一个名为 “foo” 的 ClusterRole 对象，并指定 subresource 权限：

kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status

创建一个名为 “foo” 的 ClusterRole 对象，并指定 nonResourceURL：
```
kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*
```
1

创建一个名为 “monitoring” 的 ClusterRole 对象，并指定 aggregationRule：

kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"

创建 RoleBinding，在某个名称空间内为被授权主体绑定 Role 或 ClusterRole。例子：

在名称空间 “acme” 中，将名称为 admin 的 ClusterRole 的权限授予给用户 “bob” ：
```
kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
```
1
在名称空间 “acme” 中，将名称为 view 的 ClusterRole 的权限授予给名称空间 “acme” 中名称为 “myapp” 的 service account ：
```
kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
```
1
在名称空间 “acme” 中，将名称为 view 的 ClusterRole 的权限授予给名称空间 “myappnamespace” 中名称为 “myapp” 的 service account ：
```
kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme
```
1

在集群范围内（包括所有名称空间）授权 ClusterRole。例子：

在集群范围内，将名称为 cluster-admin 的 ClusterRole 的权限授予给用户 “root”：

kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root

在集群范围内，将名称为 system:node-proxier 的 ClusterRole 的权限授予给用户 “system:kube-proxy”：
```
kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy
```
1
在集群范围内，将名称为 view 的 ClusterRole 的权限授予给名称空间 “acme” 中的 service account “myapp”：
```
kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
```
1

从描述文件创建或更新 rbac.authorization.k8s.io/v1 API 对象。

描述文件中有，API Server中不存在的对象将被创建（如果对应的名称空间不存在，自动创建名称空间）。
描述文件中有，API Server中已存在的对象将被更新，以包含描述文件中定义的权限（如果指定了 --remove-extra-permissions 参数，描述文件中未定义的额外的权限将被删除）。
描述文件中有，API Server中已存在的绑定对象将被更新，以包含描述文件中定义的被授权主体（如果指定了 --remove-extra-subjects 参数，描述文件中未定义的额外的被授权主体将被删除）。

例子：

测试描述文件中的 RBAC 对象，并显示将要执行的变更：
```
kubectl auth reconcile -f my-rbac-rules.yaml --dry-run
```
1
应用描述文件中的 RBAC 对象，保留额外的权限（角色中）和额外的被授权主体（绑定中）：
```
kubectl auth reconcile -f my-rbac-rules.yaml
```
1
应用描述文件中的 RBAC 对象，删除额外的权限（角色中）和额外的被授权主体（绑定中）：
```
kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions
```
1

免费答疑

微信扫码进群发广告者死全家...

微信扫码