[Kubernetes] ServiceAccount, Role, RoleBinding 관계

누가 무엇을 연결(누가 무엇을 한다)

 

- ServiceAccount : 권한을 사용할 주체 

- Role : 어떤 리소스에 어떤 행동을 할 수 있는지 정의 

- RoleBinding: ServiceAccount와 Role을 연결

 

 

apiVersion: v1
kind: ServiceAccount
metadata:
  name: app-sa
  namespace: dev

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: dev
  name: pod-reader

rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: dev

subjects:
- kind: ServiceAccount
  name: app-sa
  namespace: dev

roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

---

Role vs ClusterRole

Role : 특정 namespace 범위, 특정 namespace 안에서만 동작 

ClusterRole: Node 조회, 모든 namespace pod 조회 

 

 

RoleBinding vs ClusterRoleBinding

RoleBinding	namespace
ClusterRoleBinding	cluster 전체