3.10. 禁用自动创建 RBAC 资源
Red Hat OpenShift Pipelines Operator 的默认安装会为集群中的所有命名空间创建多个基于角色的访问控制(RBAC)资源,但与 ^(openshift|kube)-* 正则表达式模式匹配的命名空间除外。在这些 RBAC 资源中,pipelines-scc-rolebinding 安全性上下文约束(SCC)角色绑定资源是一个潜在的安全问题,因为关联的 pipelines-scc SCC 具有 RunAsAny 特权。
要在安装 Red Hat OpenShift Pipelines Operator 后禁用集群范围的 RBAC 资源,集群管理员可在集群级 TektonConfig 自定义资源(CR)中将 createRbacResource 参数设置为 false。
TektonConfig CR 示例
apiVersion: operator.tekton.dev/v1alpha1
kind: TektonConfig
metadata:
name: config
spec:
params:
- name: createRbacResource
value: "false"
...
警告
作为集群管理员或具有适当权限的用户,当您为所有命名空间禁用自动创建 RBAC 资源时,默认的 ClusterTask 资源无法正常工作。要使 ClusterTask 资源正常工作,您必须手动为每个预期的命名空间创建 RBAC 资源。
