本节介绍了子账号授权的用户指南,包括授权概述、IAM授权指引、RBAC授权指引。
授权概述
云容器引擎的授权体系包括管控基础云资源和OpenAPI接口的IAM权限体系以及管控K8s资源的RBAC权限体系,可以根据子账号需要访问的资源类型进行授权。
IAM权限控制
IAM权限控制:用户是否可以操作云资源以及OpenAPI接口的权限,具体场景包括:
控制台操作:访问云容器引擎控制台,通过控制台菜单和按钮操作集群。
OpenAPI操作:通过云容器引擎提供的OpenAPI接口(OpenAPI使用可参考 API参考 章节)操作集群。
RBAC权限控制
RBAC权限控制用户是否可以操作K8s集群中的某类资源(如节点、命名空间、工作负载、服务、路由等),具体场景包括:
通过云容器引擎控制台操作K8s资源(如新增或删除一个工作负载、查看节点情况等)。
使用kubeconfig连接到集群,通过kubectl操作K8s资源。
一般来说,通过云容器引擎控制台或OpenAPI操作集群会同时受到IAM权限及RBAC权限的管控,因此需要为子账号同时授予IAM权限及RBAC权限;而通过kubeconfig方式操作集群只会受到RBAC权限的管控,因此只需为子账号授予RBAC权限;需要注意的是,有部分控制台操作不会涉及到集群资源的操作(如查看监控、日志等),那么就只需为子账号授予IAM权限。
IAM授权指引
操作步骤:为单个子账号授权或调整子账号权限。
1、使用云服务账号登录管理控制台。
2、在顶部导航栏选择 服务列表>管理与部署>统一身份认证服务,进入统一身份认证服务管理控制台。
3、点击 用户 > 查看 > 权限管理 > 新增权限 为用户授予IAM权限。
4、云容器引擎预定义了系统策略,直接选择并点击下一步及确定。
操作步骤:为多个子账号授权或调整子账号权限。
1、使用云服务账号登录管理控制台。
2、在顶部导航栏选择服务列表>管理与部署>统一身份认证服务,进入统一身份认证服务管理控制台。
3、点击 用户组 > 创建用户组 创建用户组。
4、点击 用户组管理 将需要授权的子用户加到用户组。
5、点击 授权 为用户组授予IAM权限。
6、容器引擎预定义了系统策略,直接选择并点击下一步及确定。
RBAC授权指引
前提条件:已创建容器集群,具体操作请参见 用户指南 > 集群管理 > 新建集群 章节。若已有容器集群,无需重复操作。
操作步骤:为子账号授权或调整子账号权限。
注意请提前创建好子用户,并需子用户登陆天翼云后才可以同步到云容器引擎控制台。
1、登陆云容器引擎控制台, 点击左侧导航栏中的集群,进入集群列表页。
2、在集群列表中点击需要授权的集群,进入集群管理页面。
3、在集群管理页面导航栏中选择安全管理 > 授权,进入角色授权页面。
4、点击管理权限操作单个子账号权限,或选择多个子账号后点击添加权限为多个子账号批量授权,点击后进入集群RBAC配置页面。
5、在集群RBAC配置页面中,可以对子账号已有的用户权限进行调整或为子账号新增权限,权限可以限定单个命名空间或不限制命名空间(集群权限),子账号可设置的权限有内置权限(管理员、运维人员、开发人员、受限人员)和自定义权限,选择自定义权限可选择集群中创建的任意Cluster Role进行授权。
6、点击下⼀步完成授权。