RAM子账号如何给其他子账号进行RBAC授权
概述
默认情况下,RAM子账号不具备对其他子账号进行RBAC授权的能力,通过本文的指导,RAM子账号将支持为其他子账号进行RBAC授权。
详细信息
RAM子账号如果想要具备RBAC授权的能力,需要满足以下两个条件:
- 首先需要先确保该子账号在目标集群或命名空间上被授予预置的管理员角色或自定义权限策略中的cluster-admin角色。具体操作步骤详见配置RAM用户或RAM角色RBAC权限。
- 然后还需要给该子账号授予相应的RAM权限,策略包括以下内容:
- 查看其他RAM子账号。
- 授予RAM权限策略。
- 查看RBAC权限配置。
- RBAC授权能力。
具体操作步骤如下:
- 登录RAM控制台,参考以下代码示例,给子账号授予RAM权限,更多信息请参见自定义RAM授权策略。
{
"Statement": [{
"Action": [
"ram:Get*",
"ram:List*",
"cs:GetUserPermissions",
"cs:GetSubUsers",
"cs:GrantPermission"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ram:AttachPolicyToUser",
"ram:AttachPolicy"
],
"Effect": "Allow",
"Resource": [
"acs:ram:*:*:policy/xxxxxx",
"acs:*:*:*:user/*"
]
}
],
"Version": "1"
}说明:其中
xxxxxx
替换为需要绑定的RAM策略的名称。例如,替换为*
,表示子账号拥有所有RAM策略的授权绑定能力。 - 当子账号完成上述策略的绑定后,即拥有对其他子账号在指定策略范围内的RAM授权能力,以及在集群内的RBAC授权能力。详细信息请参考子账号RBAC权限配置指导,对其他子账号进行授权。
适用于
- 容器服务Kubernetes版