Применение политик OPA для учетной записи ServiceAccount через Gatekeeper в kubernetes
Мы пытаемся заменить наши существующие PSP в kubernetes политиками OPA с помощью Gatekeeper. Я использую шаблоны по умолчанию, предоставленные гейткипером https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/pod-security-policy, и определил соответствующие ограничения.
Однако я не могу понять, как применить политику к конкретному ServiceAccount.
Например. как определить политику allow-privilege-escalation только для ServiceAccount с именем awsnode?
В PSP я создаю роль/кластерную роль для требуемой podsecuritypolicies и создаю привязку роли, чтобы разрешить awsnode ServiceAccount использовать требуемую PSP. Я изо всех сил пытаюсь понять, как добиться того же, используя политики OPA Gatekeeper?
Спасибо.
Ответы 1
Очевидно, политики OPA PSP и Gatekeeper предназначены для обеспечения безопасности pod на разных уровнях. Вот ответ службы поддержки AWS на вышеуказанный вопрос.
Шаблоны ограничений гейткипера (и соответствующие ограничения CRD, определенные из шаблонов) применяются к большему объему ресурсов Kubernetes, чем только к модулям. Гейткипер расширяет дополнительные функции, которые RBAC не может предоставить на данном этапе. Сам гейткипер не может управляться RBAC (путем использования глаголов для ограничения доступа к ограничениям гейткипера), потому что для ограничений политики гейткипера не существует ключевого слова ресурса RBAC (по крайней мере, на момент написания этой статьи). Контроллер допуска PodSecurity может быть вариантом для тех, кто ищет замену PSP, которым необходимо управлять с помощью RBAC, если кластер имеет версию 1.22 или выше.