本章节通过简单的用户组授权方法,使IAM用户“James”拥有对应集群的只读权限。
须知:
- 集群权限仅针对与集群相关的资源(如集群、节点等)有效,您必须确保同时配置了设置命名空间权限,才能有操作Kubernetes资源(如工作负载、Service等)的权限。
- CCE提供了CCE FullAccess和CCE ReadOnlyAccess两种策略,建议您通过默认的系统策略实现权限管理。
- 如果您需要使用自定义策略,请仔细阅读自定义策略中可以添加的授权项(Action),如遇问题提交工单处理。
给用户组授权之前,请您了解用户组可以添加的CCE系统策略,并结合实际需求进行选择。
- 您需要拥有一个帐号,仅帐号或授予了CCE Administrator权限且全局设置了Security Administrator角色的IAM用户,才有权限进入CCE“权限管理”界面对其他IAM用户进行授权操作。
- 如果目标IAM用户涉及读写权限变更,只能由帐号授权。
- 由于IAM的安全限制,当您通过云容器引擎控制台的授权配置涉及到帐号IAM授权的修改时,需要您按照页面上给出的参考策略内容和操作说明,在IAM控制台进行目标IAM用户的手动授权。
- 权限设置完成后,需退出重新登录才能生效。
用户组是用户的集合,CCE通过IAM的用户组功能实现用户的授权。您在IAM中创建的IAM用户,需要加入特定用户组后,IAM用户才具备用户组所拥有的权限。
关于创建用户组并给用户组授权的方法,可以参考如下操作:
步骤一:创建用户组
步骤二:为用户组授权
步骤三:创建IAM用户并加入用户组
步骤四:使用IAM用户登录并验证权限
在“统一身份认证IAM”服务控制台创建用户组,并授予具有云容器引擎只读权限的“CCE ReadOnlyAccess”策略。
用户组是用户的集合,IAM通过用户组功能实现用户的授权。您在IAM中创建的用户,需要加入特定用户组后,用户才具备用户组所拥有的权限。关于创建用户组并给用户组授权的方法,可以参考如下操作。
步骤 1 使用注册的帐号登录,登录时请选择“帐号登录”。
步骤 2 在控制台首页菜单中单击“云容器引擎CCE”,进入CCE控制台。
步骤 3 单击CCE控制台左侧导航栏中的“权限管理”,单击“集群权限”页签下的“创建用户组”。
步骤 4 进入“统一身份认证服务”控制台的“创建用户组”界面,输入用户组名称(本例以“开发人员组”为例)。
单击“确定”,用户组创建完成,界面自动返回用户组列表,列表中显示新建的用户组。
说明:您最多可以创建20个用户组,如果当前资源配额无法满足业务需要,您可以申请扩大配额。
步骤 1 在用户组列表中,单击新建用户组右侧操作栏的“修改”。
在用户组修改页面中,找到用户组权限管理部分。
步骤 2 根据各区域(资源节点)的授权要求,分别设置每个资源节点的用户组权限:
- 基于区域(如苏州、青岛),授权后将只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。
步骤 3 在搜索框中搜索“CCE”,勾选需要授予用户组的权限,本例此处选择“CCE ReadOnlyAccess”。
步骤 4 单击“确定”,完成用户组授权。
IAM用户与企业中的实际员工或是应用程序相对应,有唯一的安全凭证,可以通过加入一个或多个用户组来获得用户组的权限。关于IAM用户的创建方式请参见如下步骤。
1. 在统一身份认证服务,左侧导航窗格中,单击“用户”>“创建用户”。
2. 在“创建用户”页面填写“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。
用户信息 | 说明 |
用户名 | 必填。IAM用户登录的用户名,此处以“James”和“Alice”为例。 |
邮箱 | “访问方式”选择“首次登录时设置”时必填,选择其他时选填。IAM用户绑定的邮箱,可作为子帐户的登录凭证,也可由IAM用户自己绑定。 |
手机号 | 选填。IAM用户绑定的手机号,可作为子帐户的登录凭证,也可由IAM用户自己绑定。 |
描述 | 选填。记录IAM用户相关信息。 |
3. 在“创建用户”页面选择“访问方式”,完成后单击“下一步”。
访问方式 | 配置信息 | 说明 | |
管理控制台访问 | 控制台登录密码设置方式 | 首次登录时设置 | 如果您不是用户James的使用主体,建议您选择该方式,输入用户的邮箱和手机,用户James通过邮件中的一次性链接登录,自行设置密码。 |
自动生成 | 仅在创建单个用户时适用,如果您本次创建2个及以上的用户,则不支持此方式。 | ||
自定义 | 如果您是用户James的使用主体,建议您选择该方式,设置自己的登录密码。 | ||
登录保护 | 开启登录保护 | 开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高帐号安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 | |
不开启 | - | ||
编程访问 | -- | -- | 创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对进行编程调用,例如,通过API调用方式访问时,您可能需要使用访问密钥。 |
说明:
- 用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录。
- 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
- 用户登录系统时,输入用户名和初始密码后,将进入“首次登录修改密码”,需要创建一个新密码,该功能可以保证用户的密码是由使用者本人所设置,防止密码泄露。
4. 单击“下一步”,将用户加入到用户组(可选)。
− 选择新创建的用户组“开发人员组”。将用户加入用户组,用户将具备用户组的权限,这一过程即给该用户授权。其中“admin”为系统缺省提供的用户组,具有管理人员以及所有云服务资源的操作权限。
− 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述(可选),创建成功后即可将用户加入到新创建的用户组中。
5. 单击“下一步”,IAM用户创建成功,用户列表中显示新创建的IAM用户。如果在访问方式中勾选了“编程访问”,可在此页面下载访问密钥。
IAM用户创建完成后,可以使用新用户的用户名及身份凭证登录验证权限,即“CCE ReadOnlyAccess”权限。
步骤 1 在登录页面,单击右下角的“IAM用户登录”。
步骤 2 在“IAM用户登录”页面,输入帐号名、用户名及用户密码,使用新创建的IAM用户登录。
- 帐号名为该IAM用户所属帐号的名称。
- 用户名和密码为创建IAM用户“James”时输入的用户名和密码,首次登录时需要重置密码。
如果登录失败,您可以联系您的帐号主体,确认用户名及密码是否正确,或是重置用户名及密码。
步骤 3 使用IAM用户“James”登录成功后,进入控制台,请先切换至授权区域。
步骤 4 在“服务列表”中选择“云容器引擎 CCE”,返回CCE控制台主界面,对IAM用户James的集群权限进行验证。
验证方式(参考):您可以尝试创建一个集群或休眠一个已创建的集群,此时如果提示“您的权限不足。”,则表明您为James用户设置的“CCE ReadOnlyAccess”只读权限策略已生效。