RoleBinding 和 ClusterRoleBinding 允许用户将 Subject (User、ServiceAccount 和 Group)和 特定的 Role 绑定到一起。
从而得一个
谁 (Subject)可以对 谁(Role & ClusterRole 中的 resources: [“pods”])做 什么 (Role & ClusterRole 中的 verbs: [“get”, “watch”, “list”])
注意这是一个 被允许的动作的叠加,不存在任何禁止的语义
下面是一个简单的rolebinding
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myname
namespace: default
subjects:
- kind: User
name: lizhe
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role # Role or ClusterRole
name: pod-viewer # name of role or clusterrole
apiGroup: rbac.authorization.k8s.io
