9.3. ロールをサービスアカウントに付与する例
ロールをサービスアカウントに付与する方法は、ロールを通常ユーザーアカウントに付与する方法と同じです。
現在のプロジェクトのサービスアカウントを変更できます。たとえば、
view
ロールをtop-secret
プロジェクトのrobot
サービスアカウントに追加するには、以下を実行します。$ oc policy add-role-to-user view system:serviceaccount:top-secret:robot
アクセスをプロジェクトの特定のサービスアカウントに付与することもできます。たとえば、サービスアカウントが属するプロジェクトから、
-z
フラグを使用し、<serviceaccount_name>
を指定します。$ oc policy add-role-to-user <role_name> -z <serviceaccount_name>
重要プロジェクトの特定のサービスアカウントにアクセスを付与する必要がある場合には、
-z
フラグを使用します。このフラグを使用することにより、アクセスが指定されたサービスアカウントのみに付与することができます。別の namespace を変更するには、
-n
オプションを使用して、以下の例にあるように、適用先のプロジェクト namespace を指定します。たとえば、すべてのプロジェクトのすべてのサービスアカウントが
top-secret
プロジェクトのリソースを表示できるようにするには、以下を実行します。$ oc policy add-role-to-group view system:serviceaccounts -n top-secret
managers
プロジェクトのすべてのサービスアカウントがtop-secret
プロジェクトのリソースを編集できるようにするには、以下を実行します。$ oc policy add-role-to-group edit system:serviceaccounts:managers -n top-secret