Thank you so much for your detailed responce! it clarifies many things. <div><br></div><div>Daniel <br><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 27, 2018, 14:24 Jakub Scholz <<a href="mailto:jakub@scholz.cz">jakub@scholz.cz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Daniel,<div><br></div><div>Strimzi is using secrets for certificates etc. So we do need the access to them. That said, the access to secrets is limited to the namespace where the operators watch for the custom resources / manage the clusters. So you can easily limit it to be able to access the secrets only for given namespace. That way you should be able to ensure that it will not have access to any secrets whcih do not belong to it (if oyu use namespace dedicated for Strimzi / Kafka).</div><div><br></div><div>The permissions we have in the installation files should be created based on what we really need. I do not think there is much space to cut them down. You can remove the cluster roles for reading node labels if you do not plan to use the rack awareness feature or expose Kafka outside of your Kubernetes cluster using node ports.</div><div><br></div><div>Thanks & Regards</div><div>Jakub</div></div><br><div class="gmail_quote"></div><div class="gmail_quote"><div dir="ltr">On Tue, Nov 27, 2018 at 1:14 PM Daniel Beilin <<a href="mailto:dandaniel97@gmail.com" target="_blank">dandaniel97@gmail.com</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I work in an organization that has strict security, we are trying to implement strimzi and we are worried about the cluster role privileges that are granted. specifically about the permission to read and write and edit client secrets. Is it necessary to give it those permissions? furthermore is it a possibility to harden those permissions?<div><br></div><div>thank you in advance,</div><div>daniel</div></div></blockquote></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
_______________________________________________<br>
Strimzi mailing list<br>
<a href="mailto:Strimzi@redhat.com" target="_blank">Strimzi@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/strimzi" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/strimzi</a><br>
</blockquote></div>
</blockquote></div></div>