CCE权限管理是在统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
如果您需要对CCE集群及相关资源进行精细的权限管理,例如限制不同部门的员工拥有部门内资源的细粒度权限,您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。
本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求,您可以跳过本章节,不影响您使用CCE服务的其它功能。
CCE支持的权限管理能力
CCE的权限管理包括“集群权限”和“命名空间权限”两种能力,能够从集群和命名空间层面对用户组或用户进行细粒度授权,具体解释如下:
- 集群权限: 是基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过集群权限设置可以让某些用户组操作集群(如创建/删除集群、节点、节点池、模板、插件等),而让某些用户组仅能查看集群。
集群权限涉及CCE非Kubernetes API,支持IAM细粒度策略、企业项目管理相关能力。
- 命名空间权限: 是基于Kubernetes RBAC(Role-Based Access Control,基于角色的访问控制)能力的授权,通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强,可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。
命名空间权限涉及CCE Kubernetes API,基于Kubernetes RBAC能力进行增强,支持对接IAM用户/用户组进行授权和认证鉴权,但与IAM细粒度策略独立。
CCE从v1.11.7-r2版本起的集群支持配置命名空间权限,1.11.7-r2之前的版本默认拥有全部命名空间权限。
CCE的权限可以从使用的阶段分为两个阶段来看,第一个阶段是创建和管理集群的权限,也就是拥有创建/删除集群、节点等资源的权限。第二个阶段是使用集群Kubernetes资源(如工作负载、Service等)的权限。
图 权限示例图
清楚了集群权限和命名空间权限后,您就可以通过这两步授权,做到精细化的权限控制。
集群权限(IAM授权)与命名空间权限(Kubernetes RBAC授权)的关系
拥有不同集群权限(IAM授权)的用户,其拥有的命名空间权限(Kubernetes RBAC授权)不同。下表给出了不同用户拥有的命名空间权限详情。
表 不同用户拥有的命名空间权限
| 用户类型 | 1.13及以上版本的集群 |
|---|---|
| 拥有Tenant Administrator权限的用户(例如账号) | 全部命名空间权限 |
| 拥有CCE Administrator权限的IAM用户 | 全部命名空间权限 |
| 拥有CCE FullAccess或者CCE ReadOnlyAccess权限的IAM用户 | 按Kubernetes RBAC授权 |
| 拥有Tenant Guest权限的IAM用户 | 按Kubernetes RBAC授权 |
kubectl权限说明
您可以通过kubectl访问集群的Kubernetes资源,那kubectl拥有哪些Kubernetes资源的权限呢?
kubectl访问CCE集群是通过集群上生成的配置文件(kubeconfig.json)进行认证,kubeconfig.json文件内包含用户信息,CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源。即哪个用户获取的kubeconfig.json文件,kubeconfig.json就拥有哪个用户的信息,这样使用kubectl访问时就拥有这个用户的权限。而用户拥有的权限就是上表所示的权限。
IAM支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝某项操作。
- 对应API接口:自定义策略实际调用的API接口。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
- IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。
说明“√”表示支持,“x”表示暂不支持。
云容器引擎(CCE)支持的自定义策略授权项如下所示:
表 Cluster
| 权限 | 对应API接口 | 授权项(Action) | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 获取指定项目下的集群 | GET /api/v3/projects/{project_id} /clusters |
cce:cluster:list | √ | √ |
| 获取指定的集群 | GET /api/v3/projects/{project_id} /clusters/{cluster_id} |
cce:cluster:get | √ | √ |
| 创建集群 | POST /api/v3/projects/{project_id} /clusters |
cce:cluster:create | √ | √ |
| 更新指定的集群 | PUT /api/v3/projects/{project_id} /clusters/{cluster_id} |
cce:cluster:update | √ | √ |
| 删除集群 | DELETE /api/v3/projects/{project_id} /clusters/{cluster_id} |
cce:cluster:delete | √ | √ |
| 升级集群 | POST /api/v2/projects/:projectid/clusters /:clusterid/upgrade |
cce:cluster:upgrade | √ | √ |
| 唤醒集群 | POST /api/v3/projects/{project_id}/clusters /{cluster_id}/operation/awake |
cce:cluster:start | √ | √ |
| 休眠集群 | POST /api/v3/projects/{project_id}/clusters /{cluster_id}/operation/hibernate |
cce:cluster:stop | √ | √ |
| 变更集群规格 | POST /api/v2/projects/{project_id} /clusters/:clusterid/resize |
cce:cluster:resize | √ | √ |
| 获取集群证书 | POST /api/v3/projects/{project_id} /clusters/{cluster_id}/clustercert |
cce:cluster:get | √ | √ |
表 Node
| 权限 | 对应API接口 | 授权项 | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 获取集群下所有节点 | GET /api/v3/projects/{project_id} /clusters/{cluster_id}/nodes |
cce:node:list | √ | √ |
| 获取指定的节点 | GET /api/v3/projects/{project_id} /clusters/{cluster_id}/nodes/{node_id} |
cce:node:get | √ | √ |
| 创建节点 | POST /api/v3/projects/{project_id} /clusters/{cluster_id}/nodes |
cce:node:create | √ | √ |
| 更新指定的节点 | PUT /api/v3/projects/{project_id} /clusters/{cluster_id}/nodes/{node_id} |
cce:node:update | √ | √ |
| 删除节点 | DELETE /api/v3/projects/{project_id} /clusters/{cluster_id}/nodes/{node_id} |
cce:node:delete | √ | √ |
表 Job
| 权限 | 对应API接口 | 授权项 | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 获取任务信息 | GET /api/v3/projects/{project_id}/jobs/{job_id} |
cce:job:get | √ | √ |
| 列出所有任务 | GET /api/v2/projects/{project_id} /jobs |
cce:job:list | √ | √ |
| 删除所有任务或删除单个任务 | DELETE /api/v2/projects/{project_id} /jobsDELETE /api/v2/projects/{project_id}/jobs/{job_id} |
cce:job:delete | √ | √ |
表 Nodepool
| 权限 | 对应API接口 | 授权项 | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 获取集群下所有 节点池 |
GET /api/v3/projects/{project_id} /clusters/{cluster_id}/nodepools |
cce:nodepool:list | √ | √ |
| 获取节点池 | GET /api/v3/projects/{project_id} /clusters/{cluster_id}/nodepools/{nodepool_id} |
cce:nodepool:get | √ | √ |
| 创建节点池 | POST /api/v3/projects/{project_id} /clusters/{cluster_id}/nodepools |
cce:nodepool:create | √ | √ |
| 更新节点池信息 | PUT /api/v3/projects/{project_id} /clusters/{cluster_id}/nodepools/{nodepool_id} |
cce:nodepool:update | √ | √ |
| 删除节点池 | DELETE /api/v3/projects/{project_id} /clusters/{cluster_id}/nodepools/{nodepool_id} |
cce:nodepool:delete | √ | √ |
表 Chart
| 权限 | 对应API接口 | 授权项 | IAM项目(Project) | 企业项目(Enterprise Project) |
|---|---|---|---|---|
| 更新模板 | PUT /v2/charts/{id} | cce:chat:update | √ | × |
| 上传模板 | POST /v2/charts | cce:chat:upload | √ | × |
| 列出所有模板 | GET /v2/charts | cce:chat:list | √ | × |
| 获取模板信息 | GET /v2/charts/{id} | cce:chat:get | √ | × |
| 删除模板 | DELETE /v2/charts/{id} | cce:chat:delete | √ | × |
表 Release
| 权限 | 对应API接口 | 授权项 | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 更新升级模板实例 | PUT /v2/releases/{name} |
cce:release:update | √ | √ |
| 列出所有模板实例 | GET /v2/releases |
cce:release:list | √ | √ |
| 创建模板实例 | POST /v2/releases |
cce:release:create | √ | √ |
| 获取模板实例信息 | GET /v2/releases/{name} |
cce:release:get | √ | √ |
| 删除模板实例 | DELETE /v2/releases/{name} |
cce:release:delete | √ | √ |
表 Storage
| 权限 | 对应API接口 | 授权项 | IAM项目(Project) | 企业项目(Enterprise Project) |
|---|---|---|---|---|
| 创建PersistentVolumeClaim | POST /api/v1/namespaces/{namespace}/cloudpersistentvolumeclaims | cce:storage:create | √ | √ |
| 删除PersistentVolumeClaim | DELETE /api/v1/namespaces/{namespace}/cloudpersistentvolumeclaims/{name} | cce:storage:delete | √ | √ |
| 列出所有磁盘 | GET /storage/api/v1/namespaces/{namespace}/listvolumes | cce:storage:list | √ | √ |
表 Addon
| 权限 | 对应API接口 | 授权项 | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 创建插件实例 | POST /api/v3/addons |
cce:addonInstance:create | √ | √ |
| 获取插件实例 | GET /api/v3/addons/{id}?cluster_id={cluster_id} |
cce:addonInstance:get | √ | √ |
| 列出所有插件实例 | GET /api/v3/addons?cluster_id={cluster_id} |
cce:addonInstance:list | √ | √ |
| 删除插件实例 | DELETE /api/v3/addons/{id}?cluster_id={cluster_id} |
cce:addonInstance:delete | √ | √ |
| 更新升级插件实例 | PUT /api/v3/addons/{id} |
cce:addonInstance:update | √ | √ |
表 Quota
| 权限 | 对应API接口 | 授权项 | IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
| 查询配额详情 | GET /api/v3/projects/{project_id}/quotas |
cce:quota:get | √ | √ |
