容器服务的授权管理包括 IAM 授权，RBAC 授权，以及 IRSA 权限隔离。 ## 名词解释 |分类 |IAM 权限 |RBAC 权限 |IRSA 机制 | |---|---|---|---| |简介 |全称：Identity and Access Management，基于身份的权限控制，即控制 IAM 用户能否访问 VKE 及相关云服务，属于外部访问控制。 |全称：Role\-Based Access Control ，基于角色的权限控制，即控制 IAM 用户或角色对 Kubernetes 集群内部资源的操作权限，属于内部资源控制。 |全称：IAM Role for Service Account，将 IAM 角色权限映射到 Kubernetes 服务账户，使 Pod 能够安全访问云资源，属于Pod 级别权限隔离机制。 | |实现方式 |通过 IAM 策略（系统预设或自定义）实现。 |通过 RoleBinding/ClusterRoleBinding 实现。 |通过 OIDC 协议将 Kubernetes 服务账户与 IAM 角色绑定实现。 | |适用场景 |适用于控制用户对云资源的访问权限。通常需要与 RBAC 权限配合使用，实现对集群内资源的管理操作。 |适用于控制用户在 Kubernetes 集群内的操作权限。 |适用于多租户场景下的权限细粒度隔离，使容器应用安全访问云资源。 | |配置操作 |[配置 IAM 权限](https://www.volcengine.com/docs/6460/101022) |[配置 RBAC 权限](https://www.volcengine.com/docs/6460/101023) |[集群中使用 IRSA 能力](https://www.volcengine.com/docs/6460/1324613) | ## IAM 权限 [访问控制](https://www.volcengine.com/docs/6257/64959)（Identity and Access Management，IAM ）是火山引擎为用户提供的一套权限管理系统，用于控制不同 IAM 身份（IAM 用户、用户组、角色）对云资源的访问权限。通过访问控制创建的身份，默认不具备云资源的访问权限。访问控制为每个云产品提供了预定义的权限，您可以根据实际需要，为身份分配权限。您也可以在策略管理中自定义权限，满足精细化权限控制的需求。 IAM 支持以下两种权限策略： * 系统预设策略：统一由火山引擎创建，您只能使用不能修改，策略的版本更新由火山引擎维护。 * 用户自定义策略：您可以自主创建、更新和删除策略，策略的版本更新由您自己维护。 ### 系统预设策略容器服务提供如下几种系统预设策略，可直接为 IAM 用户授权。详细的配置方法，请参见 [关联系统预设策略](https://www.volcengine.com/docs/6460/101022#.5YWz6IGU57O757uf6aKE6K6-562W55Wl)。 |策略 |策略描述 | |---|---| |VKEFullAccess |该策略为容器服务全读写访问权限，包括云服务器（ECS）、负载均衡（CLB）、私有网络（VPC）、NAT 网关的全读写访问权限。 | |VKEInnerFullAccess |该策略为容器服务内部全读写访问权限。 | |VKEReadOnlyAccess |该策略为容器服务只读访问权限。 | |VKEInnerReadOnlyAccess |该策略为容器服务内部只读访问权限。 | |BillingCenterPayOrderAccess |该策略为费用中心收银台支付权限、OpenAPI 的 PayOrder 权限。 | :::warning 自 2025 年 08 月 31 日起，所有子账号（即使拥有 **FullAccess** 权限）在申请预付费资源时必须具备 **BillingCenterPayOrderAccess** 权限，否则将无法完成订单支付。策略相关更多说明，请参见 [权限管理](https://www.volcengine.com/docs/6269/1186807)。 ::: ### 用户自定义策略容器服务支持您创建自定义策略并授权。详细的配置方法，请参见 [关联用户自定义策略](https://www.volcengine.com/docs/6460/101022#.5YWz6IGU55So5oi36Ieq5a6a5LmJ562W55Wl)。容器服务支持使用的授权项（Action）、资源（Resource）如下所示。更多说明，请参见 [策略语法](https://www.volcengine.com/docs/6257/65059)。 :::tip 资源以 TRN（火山引擎云资源唯一标识）的形式配置，格式为：`trn:{service}:{region}:{account}:{resourceType}/{id}`。 ::: |分类 |Action |Resource |描述 | |---|---|---|---| |集群 |CreateCluster |无 |创建集群。 | |^^|ListClusters |无 |获取集群列表及详情。 | |^^|UpdateClusterConfig |trn:vke:{region}:{account}:cluster/ |更新集群配置。 | |^^|DeleteCluster |trn:vke:{region}:{account}:cluster/ |删除集群。 | |^^|ListSupportedResourceTypes |无 |获取集群支持的资源类型。 | |^^|CreateKubeconfig |trn:vke:{region}:{account}:cluster/ |生成集群的 Kubeconfig 凭证。 | |^^|ListKubeconfigs |无 |查询符合条件的集群 Kubeconfig 详情列表。 | |^^|DeleteKubeconfigs |trn:vke:{region}:{account}:cluster/ |吊销集群的 Kubeconfig 凭证。 | |节点池 |CreateNodePool |trn:vke:{region}:{account}:cluster/ |创建节点池。 | |^^|CreateDefaultNodePool |trn:vke:{region}:{account}:cluster/ |创建默认节点池。 | |^^|UpdateNodePoolConfig |trn:vke:{region}:{account}:cluster/ |更新节点池配置。 | |^^|ListNodePools |无 |查询节点池列表及详情。 | |^^|DeleteNodePool |trn:vke:{region}:{account}:cluster/ |删除节点池。 | |节点 |CreateNodes |trn:vke:{region}:{account}:cluster/ |添加节点。 | |^^|ListNodes |无 |获取节点列表及详情。 | |^^|DeleteNodes |trn:vke:{region}:{account}:cluster/ |移除节点。 | |标签 |TagResources |无 |为指定的资源绑定标签。 | |^^|UntagResources |无 |解绑资源标签信息。 | |^^|ListTagsForResources |无 |查询符合条件的资源下的所有标签信息。 | |组件 |ListSupportedAddons |trn:vke:{region}:{account}:cluster/ |查询容器服务当前支持的组件详情列表。 | |^^|CreateAddon |trn:vke:{region}:{account}:cluster/ |为指定的集群安装组件。 | |^^|UpdateAddonConfig |trn:vke:{region}:{account}:cluster/ |更新指定集群下的指定组件配置。 | |^^|UpdateAddonVersion |trn:vke:{region}:{account}:cluster/ |更新指定集群下的指定组件版本。 | |^^|DeleteAddon |trn:vke:{region}:{account}:cluster/ |从指定集群中卸载指定的组件。 | |^^|ListAddons |无 |查询符合条件的已安装组件详情列表。 | |访问策略 |GrantPermission |无 |为 IAM 用户或角色授予 RBAC 访问权限。 | |^^|ListPermissions |无 |查询符合条件的 RBAC 访问策略资源信息。 | |^^|RevokePermission |无 |通过权限策略资源 ID 解除为指定 IAM 用户或角色授予的 RBAC 权限。 | ## RBAC 权限 Role\-Based Access Control (RBAC) 是基于角色的权限控制，容器服务提供集群 RBAC 授权功能，满足企业用户细粒度的资源访问权限控制需求。 * 预置 RBAC 角色 VKE 提供如下几种预置 RBAC 角色，可直接为 IAM 用户或角色授权。 |角色 |角色描述 | |---|---| |集群管理员 |允许对集群中以及所有命名空间中的全部资源进行读写，拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 | |运维管理员 |允许对所有命名空间中控制台可见 Kubernetes 资源进行读写，拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 | |高权限开发人员 |允许对节点、存储类、存储卷、命名空间、资源配额、资源限制等 Kubernetes 集群级别资源进行只读访问。 | |开发人员 |允许对所有命名空间或指定命名空间中控制台可见 Kubernetes 资源进行读写，拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 | |只读用户 |允许对所有命名空间或指定命名空间中控制台可见 Kubernetes 资源只读访问，不允许查看配置项与保密字典，拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 | * 自定义 RBAC 角色 VKE 支持自定义多种更细粒度的 RBAC 权限，供您从集群维度，管理控制各类资源的访问权限。 ## IRSA 机制 IRSA (IAM Role for Service Account) 机制是 VKE 联合 IAM 提供的安全隔离机制，核心是允许 Kubernetes 集群中的 Pod 通过 Kubernetes 服务账号（ServiceAccount）关联并使用 IAM 角色的权限，从而安全访问各类云产品资源。更多信息，请参见 [IRSA 概述](https://www.volcengine.com/docs/6460/1324604)。