最近更新时间:2023.12.13 19:07:10
首次发布时间:2023.07.20 10:49:30
分布式云原生平台的用户授权包括 IAM (Identity and Access Management,基于身份的权限控制)授权和联邦集群的 RBAC (Role-Based Access Control ,基于角色的权限控制)授权。
Identity and Access Management(IAM)是基于身份的权限控制,系统包含了不同产品模块的 IAM 预设策略。在多用户协同管理资源的场景下,IAM 子用户操作分布式云原生平台资源时,需要授予相应的权限和策略。
说明
分布式云原生平台为子用户配置 IAM 权限的方法参见:配置 IAM 权限。
系统预设策略统一由火山引擎创建,您只能使用不能修改,策略的版本更新由火山引擎维护,分布式云原生平台提供 3 种系统预设策略。
策略 | 角色类型 | 策略描述 |
---|---|---|
DCPFullAccess | 管理员 | 分布式云原生平台(DCP)的全部管理权限,以及关联资源的只读权限。
|
DCPMemberAccess | 普通用户 | 分布式云原生平台(DCP)的普通用户权限,拥有联邦集群的只读权限和资源分发的读写权限。允许查看容器集群、主控实例、成员集群等相关信息,允许使用 Yaml 分发资源,以及分发资源的全生命周期管理。 |
DCPReadonlyAccess | 只读用户 | 分布式云原生平台(DCP)的只读访问权限,仅可以查看所有集群和资源。 |
自定义策略是由用户创建的更精细化描述资源管理的权限集合,可以灵活满足用户的差异化权限管理需求,用户可自主创建、更新和删除策略,以及维护策略的版本。自定义策略通过 JSON 格式的 PolicyDocument 表达,由一系列 Statement 组成,Statement 由 Effect、Action、Resource 组成,详细写作语法参见:策略语法。
以下是分布式云原生平台中普通用户权限的策略示例,具体自定义策略可按需配置。
{ "Statement": [ { "Effect": "Allow", "Action": [ "dcp:Get*", "dcp:List*", "dcp:Check*", "dcp:CreateResourceByYaml", "dcp:UpdateResourceByYaml", "dcp:DeleteResource" ], "Resource": [ "*" ] } ] }
Role-Based Access Control (RBAC) 是基于角色的权限控制,联邦集群中提供 RBAC 授权功能,允许基主控实例或容器集群对 IAM 子用户进行 Kubernetes 集群资源授权。
分布式云原生平台基于主控实例预置 4 种 RBAC 角色,详细描述如下。
说明
分布式云原生平台为子用户配置主控实例 RBAC 权限的方法参见:配置主控实例 RBAC 权限。
角色 | 权限范围 | 角色描述 |
---|---|---|
集群管理员 | 全部命名空间 | 拥有主控实例及其管理资源的所有权限,允许对当前主控实例内全部命名空间中的分发资源和分发策略进行读写操作。 |
空间管理员 | 指定命名空间 | 允许对当前主控实例内指定命名空间中的分发资源和分发策略进行读写操作。除此之外,拥有部署策略(集群级)、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |
开发人员 | 指定命名空间 | 允许对当前主控实例内指定命名空间中的分发资源进行读写,以及对分发策略进行只读访问。除此之外,拥有部署策略(集群级)、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |
只读用户 | 指定命名空间 | 允许对当前主控实例内指定命名空间中的分发资源和分发策略进行只读访问。除此之外,拥有对部署策略(集群级)、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |
分布式云原生平台基于容器集群预置 4 种 RBAC 角色,除此之外,还支持使用自定义角色,详细描述如下。
说明
分布式云原生平台为子用户配置容器集群 RBAC 权限的方法参见:配置容器集群 RBAC 权限。
角色 | 权限范围 | 角色描述 |
---|---|---|
集群管理员 | 全部命名空间 | 允许对集群中以及全部命名空间中的全部资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 |
运维管理员 | 全部命名空间 | 允许对全部命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 |
开发者 | 指定命名空间 | 允许对指定命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |
只读用户 | 指定命名空间 | 允许对指定命名空间中控制台可见 Kubernetes 资源只读访问,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |
自定义 | 自定义 | 指定集群角色授权,对各类资源的访问权限由集群角色而定。 |