# Role pour permettre au webhook OVH de lire les secrets OVH
# Le ServiceAccount du webhook doit pouvoir lire le secret ovh-credentials
# dans le namespace cert-manager-ops
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: cert-manager-webhook-ovh:secrets
  namespace: cert-manager-ops
  labels:
    app: cert-manager-webhook-ovh
rules:
  - apiGroups:
      - ""
    resources:
      - secrets
    resourceNames:
      - ovh-credentials
    verbs:
      - get
      - list
---
# RoleBinding pour lier le Role au ServiceAccount du webhook
# Le nom du ServiceAccount est défini par le chart officiel
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cert-manager-webhook-ovh:secrets
  namespace: cert-manager-ops
  labels:
    app: cert-manager-webhook-ovh
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: cert-manager-webhook-ovh:secrets
subjects:
  # Le ServiceAccount du webhook (nom défini par le chart officiel)
  - kind: ServiceAccount
    name: cert-manager-webhook-ovh
    namespace: cert-manager-ops