本文总体介绍容器服务Kubernetes集群访问控制授权的组成及如何进行授权。

容器Kubernetes集群授权分为RAM授权和RBAC授权两部分。

RAM授权

RAM授权作用于集群管理接口的访问控制,当您需要对集群进行可见性、扩缩容、添加节点等操作时,需要进行RAM授权。详细权限请参见自定义RAM授权策略

RBAC 授权

容器服务Kubernetes的RBAC授权是指用户所有调用Apiserver访问Kubernetes集群内资源模型的访问控制,请参见授权概述,您可以通过容器服务给子账号授予如下预置角色。
表 1. 角色权限说明
角色 集群内 RBAC 权限
管理员 对所有命名空间下所有资源的读写权限
运维人员 对所有命名空间下控制台可见资源的读写权限,对集群节点,存储卷,命名空间,配额的只读权限
开发人员 对所有命名空间或所选命名空间下控制台可见资源的读写权限
受限用户 对所有命名空间或所选命名空间下控制台可见资源的只读权限
自定义 权限由您所选择的 ClusterRole 决定,请在确定所选 ClusterRole 对各类资源的操作权限后再进行授权,以免子账号获得不符合预期的权限

如何授权

授权流程图
  • 在进行子账号集群RBAC授权前请首先完成对集群管控能力的RAM授权,您可以根据需要授予子账号对于目标集群的读写策略。
    • 读策略:用于查看集群配置、kubeconfig等基本信息。
    • 写策略:包含集群伸缩、升级、删除、添加节点等集群管控能力。
    在提交RBAC授权前,您需要确保目标集群已经被授予RAM只读权限,策略参考如下。
    {
      "Statement": [
        {
          "Action": "cs:Get*",
          "Effect": "Allow",
          "Resource": [
            "acs:cs:*:*:cluster/<yourclusterID>"
          ]
        }
      ],
      "Version": "1"
    }

    具体的RAM授权步骤请参见自定义 RAM 授权策略

  • 当您完成RAM授权后,可参见子账号 RBAC 权限配置指导完成集群内Kubernetes资源模型访问的RBAC授权。