You need to enable JavaScript to run this app.
导航
配置注册集群 RBAC 授权
最近更新时间:2024.12.06 12:08:42首次发布时间:2024.12.06 12:08:42

Role-Based Access Control (RBAC) 是基于角色的权限控制,您可以使用容器服务提供的预置角色或自定义角色对目标用户进行授权,本文为您介绍如何基于注册集群对 IAM 子用户进行 RBAC 授权。

背景信息

Kubernetes 通过 RBAC 对用户请求进行鉴权,请参阅 使用 RBAC 鉴权,容器服务基于注册集群预置 5 种 RBAC 角色,除此之外,还支持使用自定义角色。

角色角色描述权限范围
集群管理员允许对集群中以及全部命名空间中的全部资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。全部命名空间
运维管理员允许对全部命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。全部命名空间
高权限开发人员拥有对 Kubernetes 的集群级别资源:集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。全部命名空间
开发人员允许对指定命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。指定命名空间
只读用户允许对指定命名空间中控制台可见 Kubernetes 资源只读访问,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。指定命名空间
自定义指定集群角色授权,对各类资源的访问权限由集群角色而定。自定义

前提条件

操作步骤

容器服务支持为 IAM 用户(User)和 IAM 角色(Role)配置注册集群的 RBAC 权限。

配置项说明
用户目标授权的用户,支持选择多个用户进行批量授权。
集群目标用户授权的注册集群,可单击 添加授权 添加多条权限规则,同时为用户授权多个注册集群的 RBAC 权限。

命名空间

通过命名空间控制 RBAC 授权的范围,支持按全部命名空间授权或指定命名空间授权。

  • 全部命名空间:授权范围涵盖全部命名空间,包括后续新建的命名空间,适用于集群管理员、运维管理员和自定义角色。

  • 指定命名空间:授权范围仅涵盖所选命名空间,适用于开发者、只读用户和自定义角色。

访问权限目标用户获得的访问权限,提供 5 种系统预设角色供选择,也可自定义角色。角色权限描述和角色与授权范围的对应关系参见:背景信息
配置项说明
角色显示当前正在配置的 IAM 角色名称。不可更改。
集群目标用户授权的注册集群,可单击 添加授权 添加多条权限规则,同时为用户授权多个注册集群的 RBAC 权限。

命名空间

通过命名空间控制 RBAC 授权的范围,支持按全部命名空间授权或指定命名空间授权。

  • 全部命名空间:授权范围涵盖全部命名空间,包括后续新建的命名空间,适用于集群管理员、运维管理员和自定义角色。

  • 指定命名空间:授权范围仅涵盖所选命名空间,适用于开发者、只读用户和自定义角色。

访问权限目标用户获得的访问权限,提供 5 种系统预设角色供选择,也可自定义角色。角色权限描述和角色与授权范围的对应关系参见:背景信息