Как написать psp k8s для service account?

Question

[Iceforest]

minikube start --extra-config=apiserver.enable-admission-plugins=PodSecurityPolicy --addons=pod-security-policy

есть service account nginx-sa
создал роль и ролибиндинг

apiVersion: v1
kind: ServiceAccount
metadata:
  name: nginx-sa
  namespace: default

---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: nginx-sa-role
  namespace: default
rules:
  - apiGroups: ["extensions", "apps",""]
    resources: [ "deployments","pods" ]
    verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: nginx-sa-role-binding
  namespace: default
subjects:
  - kind: ServiceAccount
    name: nginx-sa
    namespace: default
roleRef:
  kind: Role
  name: nginx-sa-role
  apiGroup: rbac.authorization.k8s.io

Хочу запустить контейнер под этим аккаунтом

kubectl run nginx --image=nginx -n default --as system:serviceaccount:default:nginx-sa

получаю ошибку

Error: container has runAsNonRoot and image will run as root (pod: "nginx-deployment-55649fd747-hdbql_default(2fe4a503-aa56-4ca4-9e4d-4c67cfedef40)", container: nginx)

Ошибка связана с тем, что с psp . подскажите, пожалуста, как написать правильно политику для namespace default, чтобы сервисному аккаунту разрешить запусков пода без рутовых прав?