JON: mno bez toho abys mu vyrobil roli na konkretni objekty to imho neudelas a abys mu vyrobil roli na konkretni objekty musi ten objekt uz existovat :). Proste musi Ti existovat nadrazena entita, ktera rozhodne zda muzes udelat operaci nad neexistujicim objektem ci nikoliv a je jedno zda to bude operator a nebo to poresis treba nejak v ramci tf.
Jeste me napada to zkusit poresit treba v ramci oidc. Pokud mas uzivatele v nejakem idp a vydavas tokeny, pak muzes pred danou akci (spusteni pipeliny) chtit po uzivateli (proste zada jmeno heslo
, aby se ti overil proti Tvemu idp a ziskal token s patricnymi claimy, kde bys mel informaci o rolich/pripadne povolnych ns a na zaklade toho bys kontroloval zda danou akci udelas a nebo ne. Teoreticky by to mohlo fungovat, nicmene mi to prijde zbytecne moc srani :). Samozrejme bys musel nejak patricne chranit servisni account do k8s ktere stejne musi mit prava na to udelat to zlo uvnitr => zalozit jakejkoliv ns nebo ho smazat. Coz by se dalo asi dalo osefovat nejakym mechanismem ala manage identity v azure.
Jako jo tohle by bejt cesta ale prijde mi to zbytecne krkolomny a nevim jestli to za to stoji :)