是否可以使用serviceaccount令牌获得k8s群集访问权限？
当然，这就是ServiceAccount令牌的意义所在。您似乎要问的问题是“为什么我的default ServiceAccount没有我想要的所有特权”，这是另一个问题。阅读有关此主题的详细手册将使您受益匪浅
如果希望test NS中的default SA具有读取其NS中内容的权限，则必须创建作用域为该NS的角色，然后显式声明关系。SA不会自动具有这些权限

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: test
  name: test-default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: whatever-role-you-want
subjects:
- kind: ServiceAccount
  name: default
  namespace: test

字符串
但是当脚本运行“kubectl get pods”时，我得到以下错误：服务器错误（禁止）：rolebindings.rbac.authorization.k8s.io被禁止：用户“system：serviceaccount：test：default”无法列出命名空间“test”中API组“rbac.authorization.k8s.io”中的资源“rolebindings”
假设您的意思是可以使用kubectl get rolebindings，因为我不希望运行kubectl get pods时发出该错误

是的，这是可能的。例如，如果您通过令牌登录K8S Jmeter 板，它确实使用相同的方式。
遵循这些步骤;
创建服务帐户

$ kubectl -n <your-namespace-optional> create serviceaccount <service-account-name>

字符串
角色绑定将角色中定义的权限授予一个用户或一组用户。您可以使用预定义的角色，也可以创建自己的角色。有关详细信息，请查看此链接。https://kubernetes.io/docs/reference/access-authn-authz/rbac/#rolebinding-example

$ kubectl create clusterrolebinding <binding-name> --clusterrole=cluster-admin --serviceaccount=<namespace>:<service-account-name>

型
获取令牌名称

$ TOKENNAME=`kubectl -n <namespace> get serviceaccount/<service-account-name> -o jsonpath='{.secrets[0].name}'`

型
最后，获取令牌并设置凭据

$ kubectl -n <namespace> get secret $TOKENNAME -o jsonpath='{.data.token}'| base64 --decode
$ kubectl config set-credentials <service-account-name> --token=<output from previous command>
$ kubectl config set-context --current --user=<service-account-name>

型
如果你仔细遵循这些步骤，你的问题就会得到解决。

请确保您选择正确的秘密，因为每个sa有两种不同的类型：

• kubernetes.io/dockercfg
• kubernetes.io/service-account-token

你要找的东西就在后面。