我目前正在尝试实现一个角色,该角色只能管理某些命名空间的权限。此角色的目标是能够在具有managerrore的帐户所在的命名空间中向其他用户提供角色视图和编辑。
我面临的问题是,我目前可以编辑和查看角色,但我也可以将这些角色提供给managerrole帐户。这使他能够读取命名空间的秘密,而我不希望这样。
此外,managerrole还可以删除超出其当前权限的角色绑定(例如managerrole可以删除命名空间管理员的角色绑定(。
基本上,我想限制管理层,所以它:
- 不能给自己角色编辑(特定命名空间的角色绑定(
- 无法删除其角色之上的角色绑定(特定命名空间的角色绑定,例如admin(
managerole不可能没有自己的编辑/查看权限,因为只有在自己拥有这些权限的情况下,它才能为其他人管理这些权限。
例如,管理员只有在拥有相同或更多权限的情况下才能向其他人提供管理权限。