# ClusterRole pour permettre à cert-manager d'utiliser le webhook OVH
# Le ServiceAccount cert-manager doit pouvoir créer des ressources "ovh" 
# dans le groupe API acme.gkdomaine.fr
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cert-manager-webhook-ovh:cert-manager
  labels:
    app: cert-manager-webhook-ovh
rules:
  - apiGroups:
      - acme.gkdomaine.fr
    resources:
      - ovh
    verbs:
      - create
      - get
      - list
      - watch
      - update
      - patch
      - delete
  # Permissions pour lire les secrets (nécessaire pour lire ovh-credentials)
  - apiGroups:
      - ""
    resources:
      - secrets
    verbs:
      - get
      - list
---
# ClusterRoleBinding pour lier le ClusterRole au ServiceAccount cert-manager
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cert-manager-webhook-ovh:cert-manager
  labels:
    app: cert-manager-webhook-ovh
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cert-manager-webhook-ovh:cert-manager
subjects:
  # Le ServiceAccount cert-manager dans cert-manager-ops (selon l'erreur RBAC)
  - kind: ServiceAccount
    name: cert-manager
    namespace: cert-manager-ops