发生了什么？
嘿，伙计们，
我注意到默认的集群角色管理员没有足够的权限来使用新的临时容器功能。我的团队为开发团队提供了一个基于EKS的平台，我们在其中为他们提供一个命名空间(例如“bogus”),并通过RoleBinding将默认的ClusterRole "admin"绑定到该命名空间中的组，然后使用aws-auth将AWS IAM角色Map到相应的组。
该角色具有以下API子集，可用于Pods端点：

- apiGroups:
  - ""
  resources:
  - pods
  - pods/attach
  - pods/exec
  - pods/portforward
  - pods/proxy
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update

我期望每个命名空间的Kubernetes功能都可以供这些用户使用。
你期望发生什么？
如果用户将默认的ClusterRole admin绑定到带有RoleBinding的命名空间，或者将其绑定到任何带有ClusterRoleBinding的命名空间，他们应该能够使用kubectl debug调试其命名空间中的任何pod。
我们如何尽可能最小精确地重现它？

• 获取foo命名空间中到默认ClusterRole admin的RoleBinding,主题可以轻松进行身份验证。
• 按照必要的身份验证方法访问具有该主题的集群。
• kubectl run nginx --image=nginx --restart=Never -n foo
• kubectl debug nginx -it --image=nginx -n foo

你会得到一个禁止错误，如下所示：

Error from server (Forbidden): pods "nginx" is forbidden: User "foo-admin" cannot patch resource "pods/ephemeralcontainers" in API group "" in the namespace "foo"

还有什么我们需要知道的吗？

• 无响应*

Kubernetes版本

$ kubectl version
WARNING: This version information is deprecated and will be replaced with the output from kubectl version --short.  Use --output=yaml|json to get the full version.
Client Version: version.Info{Major:"1", Minor:"25", GitVersion:"v1.25.4", GitCommit:"872a965c6c6526caa949f0c6ac028ef7aff3fb78", GitTreeState:"clean", BuildDate:"2022-11-09T13:36:36Z", GoVersion:"go1.19.3", Compiler:"gc", Platform:"darwin/arm64"}
Kustomize Version: v4.5.7
Server Version: version.Info{Major:"1", Minor:"24+", GitVersion:"v1.24.16-eks-2d98532", GitCommit:"af930c12e26ef9d1e8fac7e3532ff4bcc1b2b509", GitTreeState:"clean", BuildDate:"2023-07-28T16:52:47Z", GoVersion:"go1.20.6", Compiler:"gc", Platform:"linux/amd64"}

云提供商
AWS
操作系统版本

Darwin Jos-Maias-MacBook-Pro-M1.local 22.2.0 Darwin Kernel Version 22.2.0: Fri Nov 11 02:03:51 PST 2022; root:xnu-8792.61.2~4/RELEASE_ARM64_T6000 arm64