Role-Based Access Control (RBAC) 是基于角色的权限控制,您可以使用容器服务提供的预置角色或自定义角色对目标用户进行授权,本文为您介绍如何基于注册集群对 IAM 子用户进行 RBAC 授权。
Kubernetes 通过 RBAC 对用户请求进行鉴权,请参阅 使用 RBAC 鉴权,容器服务基于注册集群预置 5 种 RBAC 角色,除此之外,还支持使用自定义角色。
角色 | 角色描述 | 权限范围 |
---|---|---|
集群管理员 | 允许对集群中以及全部命名空间中的全部资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 | 全部命名空间 |
运维管理员 | 允许对全部命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 | 全部命名空间 |
高权限开发人员 | 拥有对 Kubernetes 的集群级别资源:集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 | 全部命名空间 |
开发人员 | 允许对指定命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 | 指定命名空间 |
只读用户 | 允许对指定命名空间中控制台可见 Kubernetes 资源只读访问,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 | 指定命名空间 |
自定义 | 指定集群角色授权,对各类资源的访问权限由集群角色而定。 | 自定义 |
容器服务支持为 IAM 用户(User)和 IAM 角色(Role)配置注册集群的 RBAC 权限。
配置项 | 说明 |
---|---|
用户 | 目标授权的用户,支持选择多个用户进行批量授权。 |
集群 | 目标用户授权的注册集群,可单击 添加授权 添加多条权限规则,同时为用户授权多个注册集群的 RBAC 权限。 |
命名空间 | 通过命名空间控制 RBAC 授权的范围,支持按全部命名空间授权或指定命名空间授权。
|
访问权限 | 目标用户获得的访问权限,提供 5 种系统预设角色供选择,也可自定义角色。角色权限描述和角色与授权范围的对应关系参见:背景信息。 |
配置项 | 说明 |
---|---|
角色 | 显示当前正在配置的 IAM 角色名称。不可更改。 |
集群 | 目标用户授权的注册集群,可单击 添加授权 添加多条权限规则,同时为用户授权多个注册集群的 RBAC 权限。 |
命名空间 | 通过命名空间控制 RBAC 授权的范围,支持按全部命名空间授权或指定命名空间授权。
|
访问权限 | 目标用户获得的访问权限,提供 5 种系统预设角色供选择,也可自定义角色。角色权限描述和角色与授权范围的对应关系参见:背景信息。 |