You need to enable JavaScript to run this app.
导航
授权概述
最近更新时间:2023.08.23 11:11:37首次发布时间:2022.03.04 23:10:39

容器服务的用户授权包括 IAM (Identity and Access Management,基于身份的权限控制)授权和容器服务的RBAC (Role-Based Access Control ,基于角色的权限控制)授权。

IAM 授权

在多用户协同管理容器服务资源的场景下, IAM(Identity and Access Management,访问控制)用户操作容器服务资源时,需要授予相应的权限和策略。

策略是访问控制 IAM 描述能力的一种方式。IAM 支持以下两种权限策略:

  • 系统预设策略:统一由火山引擎创建,您只能使用不能修改,策略的版本更新由火山引擎维护。
  • 用户自定义策略:您可以自主创建、更新和删除策略,策略的版本更新由您自己维护。

系统预设策略

容器服务提供如下几种系统预设策略,可直接为 IAM 用户授权。详细的配置方法,请参见 关联系统预设策略

策略策略描述
VKEFullAccess该策略为容器服务全读写访问权限,包括云服务器(ECS)、负载均衡(CLB)、私有网络(VPC)、NAT 网关的全读写访问权限。
VKEInnerFullAccess该策略为容器服务内部全读写访问权限。
VKEReadOnlyAccess该策略为容器服务只读访问权限。
VKEInnerReadOnlyAccess该策略为容器服务内部只读访问权限。

用户自定义策略

容器服务支持您创建自定义策略并授权。详细的配置方法,请参见 关联用户自定义策略

容器服务支持使用的授权项(Action)、资源(Resource)如下所示。更多说明,请参见 策略语法

说明

资源以 TRN(火山引擎云资源唯一标识)的形式配置,格式为:trn:{service}:{region}:{account}:{resourceType}/{id}

分类ActionResource描述
集群CreateCluster创建集群。
ListClusters获取集群列表及详情。
UpdateClusterConfigtrn:vke:{region}:{account}:cluster/{id}更新集群配置。
DeleteClustertrn:vke:{region}:{account}:cluster/{id}删除集群。
ListSupportedResourceTypes获取集群支持的资源类型。
CreateKubeconfigtrn:vke:{region}:{account}:cluster/{id}生成集群的 Kubeconfig 凭证。
ListKubeconfigs查询符合条件的集群 Kubeconfig 详情列表。
DeleteKubeconfigstrn:vke:{region}:{account}:cluster/{id}吊销集群的 Kubeconfig 凭证。
节点池CreateNodePooltrn:vke:{region}:{account}:cluster/{id}创建节点池。
CreateDefaultNodePooltrn:vke:{region}:{account}:cluster/{id}创建默认节点池。
UpdateNodePoolConfigtrn:vke:{region}:{account}:cluster/{id}更新节点池配置。
ListNodePools查询节点池列表及详情。
DeleteNodePooltrn:vke:{region}:{account}:cluster/{id}删除节点池。
节点CreateNodestrn:vke:{region}:{account}:cluster/{id}添加节点。
ListNodes获取节点列表及详情。
DeleteNodestrn:vke:{region}:{account}:cluster/{id}移除节点。
标签TagResources为指定的资源绑定标签。
UntagResources解绑资源标签信息。
ListTagsForResources查询符合条件的资源下的所有标签信息。
组件ListSupportedAddonstrn:vke:{region}:{account}:cluster/{id}查询容器服务当前支持的组件详情列表。
CreateAddontrn:vke:{region}:{account}:cluster/{id}为指定的集群安装组件。
UpdateAddonConfigtrn:vke:{region}:{account}:cluster/{id}更新指定集群下的指定组件配置。
UpdateAddonVersiontrn:vke:{region}:{account}:cluster/{id}更新指定集群下的指定组件版本。
DeleteAddontrn:vke:{region}:{account}:cluster/{id}从指定集群中卸载指定的组件。
ListAddons查询符合条件的已安装组件详情列表。
应用ForwardKubernetesApitrn:vke:{region}:{account}:cluster/{id}代理转发 Kubernetes 原生 API。

RBAC授权

Role-Based Access Control (RBAC) 是基于角色的权限控制,容器服务提供集群 RBAC 授权功能,满足企业用户细粒度的资源访问权限控制需求。

RBAC 权限的配置方法,请参见 配置用户 RABC权限

  • 预置 RBAC 角色
    容器服务 VKE 提供如下几种预置 RBAC 角色,可直接为 IAM 用户授权。

    角色角色描述
    集群管理员允许对集群中以及所有命名空间中的全部资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。
    运维管理员允许对所有命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。
    高权限开发人员允许对节点、存储类、存储卷、命名空间、资源配额、资源限制等 Kubernetes 集群级别资源进行只读访问。
    开发人员允许对所有命名空间或指定命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。
    只读用户允许对所有命名空间或指定命名空间中控制台可见 Kubernetes 资源只读访问,不允许查看配置项与保密字典,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。
  • 自定义 RBAC 角色
    容器服务 VKE 提供了多钟更细粒度的 RBAC 权限,供您从集群维度,管理控制各类资源的访问权限。