apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  # Unangemeldete / unbekannte User haben keinen Zugriff
  policy.default: role:''
  policy.csv: |
    # readonly: darf alles sehen, nichts ändern
    p, role:readonly, applications, get, */*, allow
    p, role:readonly, projects, get, *, allow
    p, role:readonly, repositories, get, *, allow
    p, role:readonly, clusters, get, *, allow
    p, role:readonly, logs, get, */*, allow

    # Beispiel: alice bekommt readonly-Zugriff
    # g, alice, role:readonly