13.4. 角色范围
角色范围允许您具有与给定角色相同等级的访问权限,该角色通过命名空间过滤。
role:<cluster-role name>:<namespace or * for all>- 将范围限定为集群角色指定的规则,但仅在指定的命名空间中。注意注意:这可以防止升级访问权限。即使角色允许访问 secret、角色绑定和角色等资源,但此范围会拒绝访问这些资源。这有助于防止意外升级。许多人认为 edit 等角色并不是升级角色,但对于访问 secret 而言,这的确是升级角色。
-
role:<cluster-role name>:<namespace or * for all>:!- 这与上例相似,但因为包含感叹号而使得此范围允许升级访问权限。
