diff --git a/doc/ServiceAccount/serviceaccount_keycloak_read.yaml b/doc/ServiceAccount/serviceaccount_keycloak_read.yaml
new file mode 100644
index 0000000000000000000000000000000000000000..2ee9466e9a025498c71aac9335b7772b7a011dc0
--- /dev/null
+++ b/doc/ServiceAccount/serviceaccount_keycloak_read.yaml
@@ -0,0 +1,62 @@
+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+---
+kind: ClusterRoleBinding
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: ozg-operator-keycloak-viewer-role-binding
+subjects:
+  - kind: ServiceAccount
+    name: ozg-operator-serviceaccount
+    namespace: by-ozg-operator-dev
+roleRef:
+  kind: ClusterRole
+  name: ozg-operator-keycloak-viewer-role
+  apiGroup: rbac.authorization.k8s.io
+---
+kind: ClusterRole
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: ozg-operator-keycloak-viewer-role
+rules:
+  - apiGroups:
+      - "*"
+    resources:
+      - ozgkeycloakusers
+      - ozgkeycloakusers/status
+      - ozgkeycloakusers/finalizers
+      - ozgkeycloakgroups
+      - ozgkeycloakgroups/status
+      - ozgkeycloakgroups/finalizers
+      - ozgkeycloakrealms
+      - ozgkeycloakrealms/status
+      - ozgkeycloakrealms/finalizers
+      - ozgkeycloakclients
+      - ozgkeycloakclients/status
+      - ozgkeycloakclients/finalizers
+    verbs:
+      - get
+      - list
+      - watch
diff --git a/doc/ServiceAccount/serviceaccount_keycloak_secrets_read.yaml b/doc/ServiceAccount/serviceaccount_keycloak_secrets_read.yaml
index bc620ba36795350c6232265177140f47b7040ced..5f3efc0208a8239360e910ff5559865442e3f189 100644
--- a/doc/ServiceAccount/serviceaccount_keycloak_secrets_read.yaml
+++ b/doc/ServiceAccount/serviceaccount_keycloak_secrets_read.yaml
@@ -30,7 +30,7 @@ metadata:
 subjects:
   - kind: ServiceAccount
     name: ozg-operator-serviceaccount
-    namespace: {{ .Release.Namespace }}      
+    namespace: by-ozg-operator-dev     
 roleRef:
   kind: Role
   name: ozg-operator-keycloak-secrets-viewer-role
diff --git a/doc/ServiceAccount/serviceaccount_keycloak_write.yaml b/doc/ServiceAccount/serviceaccount_keycloak_write.yaml
new file mode 100644
index 0000000000000000000000000000000000000000..2eda24e8cbe5e6c11510a887dfff5292d33eec35
--- /dev/null
+++ b/doc/ServiceAccount/serviceaccount_keycloak_write.yaml
@@ -0,0 +1,66 @@
+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+---
+kind: ClusterRoleBinding
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: ozg-operator-keycloak-write-role-binding
+subjects:
+  - kind: ServiceAccount
+    name: ozg-operator-serviceaccount
+    namespace: by-ozg-operator-dev
+roleRef:
+  kind: ClusterRole
+  name: ozg-operator-keycloak-write-role
+  apiGroup: rbac.authorization.k8s.io
+---
+kind: ClusterRole
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: ozg-operator-keycloak-write-role
+rules:
+  - apiGroups:
+      - "*"
+    resources:
+      - ozgkeycloakusers
+      - ozgkeycloakusers/status
+      - ozgkeycloakusers/finalizers
+      - ozgkeycloakgroups
+      - ozgkeycloakgroups/status
+      - ozgkeycloakgroups/finalizers
+      - ozgkeycloakrealms
+      - ozgkeycloakrealms/status
+      - ozgkeycloakrealms/finalizers
+      - ozgkeycloakclients
+      - ozgkeycloakclients/status
+      - ozgkeycloakclients/finalizers
+    verbs:
+      - get
+      - list
+      - create
+      - delete
+      - patch
+      - update
+      - watch