You need to enable JavaScript to run this app.
导航

配置容器集群 RBAC 权限

最近更新时间2024.01.19 14:39:13

首次发布时间2023.07.20 10:49:31

Role-Based Access Control (RBAC) 是基于角色的权限控制,您可以使用分布式云原生平台提供的预置角色或自定义角色对目标用户进行授权,本文为您介绍如何基于容器集群对 IAM 子用户进行 RBAC 授权。

背景信息

Kubernetes 通过 RBAC 对用户请求进行鉴权,请参阅 使用 RBAC 鉴权,分布式云原生平台基于容器集群预置 4 种 RBAC 角色,除此之外,还支持使用自定义角色。

角色角色描述权限范围
集群管理员允许对集群中以及全部命名空间中的全部资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。全部命名空间
运维管理员允许对全部命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。全部命名空间

开发者

允许对指定命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。

指定命名空间

只读用户允许对指定命名空间中控制台可见 Kubernetes 资源只读访问,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。指定命名空间
自定义指定集群角色授权,对各类资源的访问权限由集群角色而定。自定义

前提条件

操作步骤

  1. 登录 分布式云原生控制台
  2. 在左侧导航栏选择 授权管理 > 集群授权,进入授权管理页面。
  3. 单击 创建授权,配置授权相关信息。

alt

配置项说明
用户目标授权的用户,支持选择多个用户进行批量授权。
集群目标用户授权的容器集群,可单击 添加授权 添加多条权限规则,同时为用户授权多个容器集群的 RBAC 权限。

命名空间

通过命名空间控制 RBAC 授权的范围,支持按全部命名空间授权或指定命名空间授权。

  • 全部命名空间:授权范围涵盖全部命名空间,包括后续新建的命名空间,适用于集群管理员、运维管理员和自定义角色。

  • 指定命名空间:授权范围仅涵盖所选命名空间,适用于开发者、只读用户和自定义角色。

访问权限目标用户获得的访问权限,提供 4 种系统预设角色供选择,也可自定义角色。角色权限描述和角色与授权范围的对应关系参见:背景信息
  1. 单击 确定,完成基于容器集群的 RBAC 授权。