# ClusterRole pour permettre au webhook OVH de lire les secrets OVH
# Utilisation d'un ClusterRole pour éviter tout problème de permissions
# Le ServiceAccount du webhook doit pouvoir lire le secret ovh-credentials
# dans le namespace cert-manager-ops
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cert-manager-webhook-ovh:secrets
  labels:
    app: cert-manager-webhook-ovh
rules:
  - apiGroups:
      - ""
    resources:
      - secrets
    # Pas de resourceNames avec ClusterRole, mais on limite au namespace via le ClusterRoleBinding
    verbs:
      - get
      - list
---
# ClusterRoleBinding pour lier le ClusterRole au ServiceAccount du webhook
# Le nom du ServiceAccount est défini par le chart officiel
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cert-manager-webhook-ovh:secrets
  labels:
    app: cert-manager-webhook-ovh
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cert-manager-webhook-ovh:secrets
subjects:
  # Le ServiceAccount du webhook (nom basé sur le release name du chart)
  - kind: ServiceAccount
    name: cert-manager-webhook-ovh-ops
    namespace: cert-manager-ops