RBAC权限治理：Kubernetes角色/绑定与最小权限

RBAC权限治理：Kubernetes角色/绑定与最小权限概览RBAC 通过角色与绑定控制 API 访问；按命名空间与集群级划分权限。最小权限与审计是核心治理原则。技术参数（已验证）角色：`Role/ClusterRole` 定义 `rules`（apiGroups/resources/verbs）。绑定：`RoleBinding/ClusterRoleBinding` 将主体（用户/组/ServiceAccount）绑定到角色。范围：命名空间资源使用 `Role`；跨命名空间与集群资源使用 `ClusterRole`。审计与观测：记录访问与拒绝事件；定期审查绑定与孤儿账号。安全基线：默认最小权限；避免 `*` 通配；按职责分离。实战清单建立角色库与审批流程；变更均需审查与记录。定期清理过期绑定与主体；对高权限设告警。在 CI 中校验权限变更；保持一致与可回滚。