Всем привет!
Сегодня опять за инструмент. Бесплатная утилита kubectl-who-can от Aqua Security выводит перечень RBAC разрешений для "глаголов" Kubernetes, что бывает полезным, когда надо посмотреть перечень сущностей, которые могут выполнять конкретное действие. Удобно получать информацию о том, "кто" может "что" и с "чем" в масштабах кластера, чтобы не делать много ручной работы. Кроме того утилита позволяет подсветить потенциально опасные права для сущности (например, delete psp)
Пример использования:
Установка:
Установить утилиту можно с использованием krew, вручную или из собрать из source-ов. По ссылке описана как процедура установки, так и примеры использования
Сегодня опять за инструмент. Бесплатная утилита kubectl-who-can от Aqua Security выводит перечень RBAC разрешений для "глаголов" Kubernetes, что бывает полезным, когда надо посмотреть перечень сущностей, которые могут выполнять конкретное действие. Удобно получать информацию о том, "кто" может "что" и с "чем" в масштабах кластера, чтобы не делать много ручной работы. Кроме того утилита позволяет подсветить потенциально опасные права для сущности (например, delete psp)
Пример использования:
kubectl-who-can create pods выведет список ClusterRoleBinding, Subject, Type и Namespace с перечнем сущностей, у которых есть разрешение на выполнение создание подов. Установка:
Установить утилиту можно с использованием krew, вручную или из собрать из source-ов. По ссылке описана как процедура установки, так и примеры использования