容器服务支持为 IAM 用户（User）和 IAM 角色（Role）配置 RBAC 权限。本文主要描述配置 RBAC 权限的操作流程。 ## 使用限制只有以下账号或 IAM 身份（用户/角色），具备配置集群 RBAC 权限的能力： * 火山引擎主账号（Owner）：具备集群的完整控制权限，可直接配置 RBAC。 * 集群创建者：无论是否为主账号或 IAM 身份，集群创建者默认拥有该集群的 RBAC 管理员权限。 * 对于一般 IAM 用户或 IAM 角色，必须同时满足以下两个条件，才能配置 RBAC 权限： * 已被主账号或集群创建者授予了目标集群的管理权限（在控制台上授权或者调用 GrantPermission API 授予）。 * 拥有全局权限策略：IAMFullAccess 或 IAMReadOnlyAccess。 ## 前提条件 * 已创建集群。详细操作，请参见 [创建集群](https://www.volcengine.com/docs/6460/100936)。 * IAM 用户已完成 VKE 侧的相关权限配置。详细操作，请参见 [配置 IAM 用户权限](https://www.volcengine.com/docs/6460/101022)。 * 已创建 IAM 角色。详细操作，请参见 [角色管理](https://www.volcengine.com/docs/6257/64979)。 ## 配置 IAM 用户的 RBAC 权限 1. 登录 [容器服务控制台](https://console.volcengine.com/vke)。 2. 在左侧导航栏，单击 **授权管理** \> **用户授权**。 3. 在 **用户授权管理** 页面，单击 **创建用户授权**。 4. 在 **创建用户授权** 页面，选中 IAM 用户，并根据系统提示，为 IAM 用户配置 RBAC 权限。 |参数 |说明 | |---|---| |用户 |在 **全部用户** 列下，选中用户名前的复选框，表示即将为已选中的 IAM 用户，配置相同的 RBAC 权限。 | |权限 |根据控制台上的 **访问权限说明**，为已选中的 IAM 用户配置访问权限。有如下三类访问权限，更多说明，请参见 [RBAC 权限角色说明](https://www.volcengine.com/docs/6460/1129837)。|\ | ||\ | |* 账号集群级别：选择 **账号全部资源/账号集群级别**，表示已选中的 IAM 用户对当前主账号下所有已存在的集群以及后续新建的集群，都有相应的权限。|\ | |* 集群级别：选择某一个集群和所有命名空间，表示已选中的 IAM 用户对目标集群下的所有已存在和后续新增的命名空间，都有相应的权限。|\ | |* 命名空间级别：选择某一个集群和某一个命名空间，表示已选中的 IAM 用户对目标集群下的指定命名空间，有相应的权限。 | 5. （可选）单击 **添加权限**，可为已选中的 IAM 用户添加多个 RBAC 权限。 6. 单击 **确定**，配置完成 IAM 用户的 RBAC 权限。 ## 配置 IAM 角色的 RBAC 权限 1. 在 [容器服务控制台](https://console.volcengine.com/vke) 的左侧导航栏，单击 **授权管理** \> **角色授权**。 2. 在 **角色授权管理** 页面的 **角色名称** 下输入需要授予 RBAC 权限的 IAM 角色名称，然后单击 **管理角色权限**。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_e1adc884434781deac7fdf802d29b597.png =964x) 3. 在 **角色授权详情页**，单击 **添加角色授权**，并根据系统提示，为 IAM 角色配置 RBAC 权限。 |参数 |说明 | |---|---| |角色 |显示当前正在配置的 IAM 角色名称。不可更改。 | |权限 |根据控制台上的 **访问权限说明**，从集群和命名空间维度，为当前 IAM 角色配置访问权限。有如下三类访问权限，更多说明，请参见 [RBAC 权限角色说明](https://www.volcengine.com/docs/6460/1129837)。|\ | ||\ | |* 账号集群级别：选择 **账号全部资源/账号集群级别**，表示已选中的 IAM 角色对当前主账号下所有已存在的集群以及后续新建的集群，都有相应的权限。|\ | |* 集群级别：选择某一个集群和所有命名空间，表示已选中的 IAM 角色对目标集群下的所有已存在和后续新增的命名空间，都有相应的权限。|\ | |* 命名空间级别：选择某一个集群和某一个命名空间，表示已选中的 IAM 角色对目标集群下的指定命名空间，有相应的权限。 | 4. （可选）单击 **添加权限**，可为已选中的 IAM 角色添加多个 RBAC 权限。 5. 单击 **确定**，配置完成 IAM 角色的 RBAC 权限。