授权概述 - 服务网格 ASM

服务网格ASM实例的授权分为RAM授权和RBAC授权两部分。本文介绍两种授权的内容以及如何进行授权。

RAM授权

RAM授权作用于网格实例管理接口的访问控制，当您需要创建网格或者对网格进行修改、删除或者添加集群等操作时，需要进行RAM授权。详情请参见自定义RAM授权策略。

如果网格实例是由主账号创建，并授权给子账号使用，主账号需要为子账号授予相应的RBAC权限。服务网格ASM的RBAC授权是基于Kubernetes集群内资源模型的访问控制，请参见授权概述。

您可以通过ASM控制台给子账号授予以下预置角色。


角色	集群内RBAC权限
网格管理人员	对所有命名空间下所有资源的读写权限
网格管理受限人员	对所有命名空间或所选命名空间下控制台可见资源的只读权限
无权限	对所有命名空间下所有资源没有任何读写权限

授权的过程分为RAM授权和RBAC授权。

在RAM控制台创建子账号，详情请参见创建RAM用户。
自定义RAM授权策略，详情请参见自定义RAM授权策略。
根据需要授予子账号相应的RAM策略，详情请参见为RAM用户授权。
如果网格实例是由主账号创建，并授权给子账号使用，主账号需要为子账号授予相应的RBAC权限。
服务网格ASM的RBAC授权是基于Kubernetes集群内资源模型的访问控制，详情请参见配置子账号RBAC权限。
设置网格审计所需的RAM授权，详情请参见网格审计的子账户RAM授权。