kubernetes cluster-admin 无法创建 CRD？

Question

我正在尝试创建可以创建 CRD 的服务帐户，但是当我将服务帐户绑定到 cluster-admin 时，kubernetes 告诉我它没有权限，

这就是我绑定它的方式

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: my-role-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: my-user
  namespace: my-namespace

，并且我已经创建了服务帐户使用：

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-user
  namespace: my-namespace

但是当我运行 kubectl auth can-i create CustomResourceDefinition --as=my-user --all-namespaces 时，它返回 no 。

我不明白它如何不允许创建 CRD

Answer 1

事实证明，您不能仅在 --as 标志中指定服务帐户的名称。

运行 $ kubectl auth can-i create customresourcedefinition --as=system:serviceaccount:my-namespace:my-user 返回 yes

我还试图限制 CRD允许使用 reosurceName 字段创建服务帐户，但显然，您需要访问 get, create 所有 CRD 才能创建 CRD，即使您拥有所有 CRD具有特定 resourceName 的 CRD 的权限