全部文档
当前文档

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

配置子用户RBAC权限

最近更新时间:2021-09-07 20:52:25

概述

容器服务结合 Kubernetes 原生的 RBAC 授权策略,为您提供授权管理功能。在RBAC权限管理模式下,您可对集群内的Kubernetes 资源进行更细粒度的权限访问控制,例如:赋予某个子用户只读权限或赋予某个子用户下的某个命名空间读写权限等。

注:RBAC(Role-Based Access Control)是基于角色的访问控制,如需了解更多信息,请见使用RBAC鉴权

配置说明

  • 对子用户授权之前,请先确保目标子用户至少已被授予指定集群的只读权限。
  • 默认情况下子用户(非集群创建者)没有集群内任何Kubernetes资源的访问权限。
  • 默认主账号集群创建者具备管理员权限。
  • 您可使用容器服务提供的预设身份对目标子用户进行授权。
  • 主账号可以针对所有集群维度进行一键授权。
  • 当子用户给其他子用户进行RBAC授权时,控制台会过滤其可以授权的集群和命名空间的资源范围,只有当子用户有指定集群的管理员角色时,才可以给其他子用户进行RBAC授权。
  • 支持对多个目标子用户进行批量添加授权。

权限说明

所有命名空间维度

角色 集群RBAC权限
管理人员(kce:admin) 对集群内所有命名空间下资源的RBAC读写权限,具备集群节点、存储卷、命名空间、配额的读写权限,可配置子用户的读写权限。
运维人员(kce:ops) 对集群内所有命名空间下控制台可见资源的RBAC读写权限,具备集群节点、存储卷、命名空间、配额的读写权限。
开发人员(kce:dev) 对集群内所有命名空间下控制台可见资源的RBAC读写权限。
受限人员(kce:restricted) 对集群内所有命名空间下控制台可见资源的RBAC只读权限。
自定义 权限由您所选择的ClusterRole决定,请在确定所选ClusterRole对各类资源的操作权限后再进行授权,以免子账号获得不符合预期的权限。

指定命名空间维度

角色 集群RBAC权限
开发人员(kce:ns:dev) 对所选命名空间下控制台可见资源的RBAC读写权限, 需要选择指定命名空间。
受限人员(kce:ns:restricted) 对所选命名空间下控制台可见资源的RBAC只读权限, 需要选择指定命名空间。

相关操作说明

管理权限

您可管理子用户的权限,为子用户增加新的权限、删除/修改已有权限。

  1. 登录容器服务控制台
  2. 在左侧导航栏中,选择授权管理,进入授权管理页面。
  3. 选择需要管理权限的子用户,单击管理权限,进入管理权限页面。
    image.png
  4. 单击添加权限,您可按需选择集群或命名空间级别的权限配置,并选择相应的预设身份;也可以单击叉号删除目标权限。
    image.png
  5. 单击完成,即可完成相关授权操作。

添加权限

您可批量为子账号增加权限,不影响已有权限。

  1. 登录容器服务控制台
  2. 在左侧导航栏中,选择授权管理,进入授权管理页面。
  3. 选择需要添加权限的子用户,单击添加权限,进入添加权限页面。
    image.png
  4. 单击添加权限,您可按需选择集群或命名空间级别的权限配置,并选择相应的预设身份;也可以单击叉号删除目标权限。
    image.png
  5. 单击完成,即可完成相关授权操作。

一键授权

主账号可以在所有集群维度进行一键授权。

  1. 登录容器服务控制台
  2. 在左侧导航栏中,选择授权管理,进入授权管理页面。
  3. 选择需要一键授权的子用户,单击一键授权
    image.png
  4. 在跳出的弹窗中,按需选择单击确定,即可完成相关操作。
    image.png

相关问题

访问接入RBAC授权模式的集群时,请参考通过kubectl连接Kubernetes集群

文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈