Kubernetes RBAC权限控制：从入门到实战

原创

于 2025-05-31 17:37:21 发布 · 885 阅读

标签

#kubernetes #云原生 #网络安全 #系统安全 #安全架构

收录于

🔥「炎码工坊」技术弹药已装填！
点击关注 → 解锁工业级干货【工具实测|项目避坑|源码燃烧指南】

引言：为什么需要RBAC？

在Kubernetes集群中，权限失控是导致安全漏洞的核心原因之一。试想以下场景：

开发人员误删生产环境的Pod或配置；
第三方服务账户拥有过高的集群管理权限；
多团队共享集群时资源冲突或数据泄露。

Kubernetes通过**RBAC（基于角色的访问控制）**机制，实现了对用户、服务账户和服务的细粒度权限管理。本文将带你从零掌握RBAC的核心原理与实战技巧，并提供可复用的代码示例。

一、RBAC核心概念与原理

RBAC的核心是角色（Role）与绑定（Binding），其逻辑类似于“职位说明书”与“员工职位分配”：

1. 角色定义：谁可以做什么？

Role：作用于单个命名空间的权限规则。
ClusterRole：作用于整个集群的权限规则（如节点管理、集群级操作）。

示例：定义一个只允许读取Pod的角色

# pod-reader-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default  # 限定命名空间
  name: pod-reader
rules:
- apiGroups: [""]  # 核心API组（Pod属于此组）
  resources: ["pods"]  # 允许操作的资源类型
  verbs: ["get", "list", "watch"]  # 可执行的操作

2. 角色绑定：谁被赋予了什么角色？

RoleBinding：将Role绑定到用户、组或服务账户（作用于同一命名空间）。
ClusterRoleBinding：将ClusterRole绑定到全局对象。

示例：将pod-reader角色绑定到开发团队用户

# pod-reader-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kin

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

炎码工坊

关注关注

7
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【kubernetes系列】Kubernetes之RBAC

margu_168的博客

07-11

1586

k8s的权限控制在实际工作中不那么经常使用，但是却是很重要的，我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中，常用的授权插件有以下几种： Node（节点认证） ABAC(基于属性的访问控制) RBAC（基于角色的访问控制） Webhook（基于http回调机制的访问控制）kubernetes 集群相关所有的交互都需要通过apiserver来完成，对于这样集中式管理的系统来说，权限管理尤其重要，Kubernetes的授权是基于插件形式的，在1.5版的时候引入了基于角色的访问控制（Role-Bas

参与评论您还未登录，请先登录后发表或查看评论

Kubectl之RBAC分析（含自定义Kubectl权限）

jiayu的博客

10-13

866

Kubectl之RBAC分析实验环境具体环境请参考我之前搭建k8s环境的博客：https://editor.csdn.net/md/?articleId=120629783 Kubectl搭建 # 创建kubectl证书请求文件 cat > admin-csr.json <<EOF { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [

Kubernetes（k8s）权限管理RBAC详解

匠人精神，持之以恒！

10-16

8973

文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制（以ServiceAccount展开讲解）1）介绍2）Role和ClusterRole3）RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1）User1、创建K8S 用户2、对用户授权2）Group1、创建K8S 用户和用户组2、对组授权3）ServiceAccount4）为ServiceAccount生成Tok

【Kubernetes运维篇】RBAC认证授权详解(一)

热门推荐

秦子腾

07-08

1万+

RBAC是一种基于角色访问控制方式，它将权限和角色相关联，用户加入到角色中，就会拥有角色中的权限，RBAC的核心思想是，将权限赋予给角色，角色中加入多个用户，加入进来的用户会具有角色的权限，如果修改权限也是针对角色进行操作，而不是针对每个用户进行权限操作，这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多，其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount，也是K8S默认启用的准入模块(具体看K8S版本)，我们只需要定义对应的规则即可。

Kubernetes — RBAC权限控制

qq_41619571的博客

10-16

1066

1. 在Kubernetes中，负责完成授权（Authorization）工作的机制，就是RBAC：基于角色的访问控制（Role-Based Access Control）2. “主体”（subject）能够或不能够“操作”（operate）哪个或哪类“对象”（object）。动作的发出者是subject，通常是（User Account），也可以是（Service Account）。“操作”（operate）用于表明执行的具体操作，

k8s RBAC权限控制

2401_86274572的博客

08-04

1383

使用k8s RBAC权限控制

k8s RBAC 多租户权限控制实现

zhd930818的博客

04-21

8085

玩转 K8s 权限控制：RBAC + kubeconfig 搞定 kubectl 权限管理那些事

sdgfafg_25的博客

12-14

1402

先复习下 K8s 里的 RBAC 机制。(这时候需要用到 GPT 了。我：Hello ChatGPT，用中文总结下 K8s 里的 RBAC 是个啥。ChatGPT在 Kubernetes 中，RBAC 是一种强大的访问控制机制，用于管理对集群资源的访问权限。RBAC 可以帮助管理员精确地控制用户、ServiceAccount 或其他实体对 Kubernetes API 中资源的操作权限。RBAC 基于角色的授权模型使得管理员可以定义角色和角色绑定，从而实现对不同用户或实体的访问权限控制。

Kubernetes RBAC 详解

03-24

2614

原文链接：Kubernetes RBAC 详解前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象：ConfigMap和Secret，其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了，来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前，我们还需要给大家讲解一个重要的概念：RBAC - 基于角色的访问控制。 RBAC使用rba...

【Kubernetes】认证授权RBAC （一）

hj的博客

01-06

1344

kubernetes主要通过APIserver对外提供服务，那么就需要对访问apiserver的用户做认证。如果任何人都能访问apiserver，那么就可以随意在k8s集群部署资源，这是非常危险的，也容易被黑客攻击渗透。所以需要我们对访问的k8s系统apiserver的用户进行认证，确保是合法的、符合要求的用户认证通过后仅代表它是一个被apiserver信任的用户，能访问apierver，但是用户是否拥有删除资源的权限，需要进行授权操作，常见的授权方式有rbac授权。

K8s—使用 RBAC 鉴权

最新发布

Yuanshigou9的博客

12-30

1028

K8s：Role、ClusterRole、RoleBinding、ClusterRoleBinding

在 ABAP CDS 与 RAP 中把日期时间处理得又准又稳：从 abap.datn 到时区与时间戳的全链路实践

2007 年 ~ 2025 年，深耕 SAP 技术 18 年

12-03

1258

摘要：本文深入探讨了SAP系统中日期时间处理的常见问题与解决方案。文章指出日期时间字段在企业系统中极易引发线上事故，如时区差异、夏令时问题等。重点介绍了ABAP CDS中新一代日期时间类型（abap.datn、abap.timn、abap.utcl）的优势及使用场景，对比了传统字符型日期时间字段的局限性。同时详细讲解了在CDS层获取系统日期、用户时区的两种机制：会话变量与@Environment.systemField注解。文章还提供了日期时间计算的正确方法，包括内建函数的使用示例，如DATN_DAYS_

在Kubernetes集群中RBAC简介

tyxjolin的专栏

03-29

1220

在Kubernetes中，RBAC 是一种标准的权限控制机制，允许管理员通过角色来限制特定用户或用户组对集群资源的访问权限。RBAC主要使用四个Kubernetes API资源来定义和实施权限：Role您可以使用YAML文件来定义角色的权限。kind: Rolemetadata:rules:以上定义了一个名为pod-reader的角色，它可以在默认命名空间中获取（get）、观察（watch）并列出（list）Pods。接下来，使用YAML文件来定义角色绑定。

k8s之RBAC 详解(基于角色的访问控制)

qfyangsheng的博客

08-19

1800

一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control Service Account为服务提供了一种方便的认证机制，但它不关心授权的问题。可以配合RBAC来为Service Account鉴权在Kubernetes中，授权有ABAC（基于属性的访问控制）、RBAC（基于角色的访问控制）、Webhook、Node、AlwaysDeny（一直拒绝）和AlwaysAllow（一直允许）这6种模式。在RABC API中，通过如下的步骤进行授权

Kubernetes权限管理之RBAC （一）

RJ0024的博客

11-09

383

k8s在启用基于角色管理的访问控制 RBAC（Role-based-Access-Control）的授权模式。相当于基于属性的访问控制ABAC（Attribute-based Access Control）,RBAC主要是引入了角色（Role 权限的集合）和角色绑定（RoleBinding）的抽象概念。在ABAC中，k8s集群中的访问策略只能跟用户直接关联；而RBAC中，访问策略可以跟某个角色关联，具体的用户再和某个角色或者多个角色关联。 RBAC有四个新的k8s顶级资源对象：角色（Role）、集群角

kubernetes 创建RBAC 用户的例子

纵横四海的博客

09-12

2869

创建Service Account vi demo-serviceaccount.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system [root@master-47-35 service-account]# kubectl create -f de...

实战：k8s中基于角色的权限访问控制-RBAC(成功测试-博客输出)-20211005

weixin_39246554的博客

10-05

652

目录文章目录目录写在前面基础知识介绍实验环境实验软件老师原课件内容1.、用K8S CA签发客户端证书2. 生成kubeconfig授权文件3. 创建RBAC权限策略4.指定kubeconfig文件测试权限5.现在这个小伙子技术差不多了，该如何给他放大权限呢？6.此时，这个小伙子就可以欢乐去使用k8s集群了总结写在前面本文，我将带你实战演示k8s中基于角色的权限访问控制-RBAC实验。我的博客主旨：我希望每一个人拿着我的博客都可以做出实验现象，先把实验做出来，然后再结合理论知识更深层次去理解技术点，.

kubernetes RBAC实战 kubernetes 用户角色访问控制，dashboard访问，kubectl配置生成

weixin_34221073的博客

11-24

210

kubernetes RBAC实战环境准备先用kubeadm安装好kubernetes集群，kubernetes1.8.2安装包 | kubernetes1.9.2安装包好用又方便，服务周到，童叟无欺本文目的，让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问安装cfssl 此...

Kubernetes 1.6新特性：RBAC授权

程序源234的专栏

04-15

1万+

概述 Kuberntes中API Server的访问控制过程图示如下：在Kubernetes中，授权(authorization)是在认证(authentication)之后的一个步骤。授权就是决定一个用户(普通用户或ServiceAccount)是否有权请求Kubernetes API做某些事情。之前，Kubernetes中的授权策略主要是ABAC(Attribut