本文介绍容器服务ACK集群访问控制授权的组成及如何进行授权。

容器服务ACK集群授权分为RAM授权和RBAC授权两部分。

RAM授权

RAM授权作用于集群管理接口的访问控制,当您需要对集群进行可见性、扩缩容、添加节点等操作时,需要进行RAM授权。详细权限请参见自定义RAM授权策略

RBAC授权

容器服务ACK的RBAC授权是指用户所有调用API Server访问Kubernetes集群内资源模型的访问控制,请参见授权概述。您可以通过容器服务ACK给子账号授予以下预置角色。
表 1. 角色权限说明
角色 集群内 RBAC 权限
管理员 对所有命名空间下所有资源的读写权限。
运维人员 对所有命名空间下控制台可见资源的读写权限,对集群节点、存储卷、命名空间、配额的只读权限。
开发人员 对所有命名空间或所选命名空间下控制台可见资源的读写权限。
受限用户 对所有命名空间或所选命名空间下控制台可见资源的只读权限。
自定义 权限由您所选择的ClusterRole决定,请在确定所选ClusterRole对各类资源的操作权限后再进行授权,以免子账号获得不符合预期的权限。
说明 在进行子账号集群RBAC授权前,需完成对集群管控能力的RAM授权,您可以根据需要授予子账号对于目标集群的读写策略。

授权步骤

授权流程图

如果您没有子账号,请首先创建子账号(即RAM用户)。有关具体操作请参见创建RAM用户。通过子账号使用容器服务前,需要完成以下操作。

  1. 配置RAM权限。有关具体步骤,请参见自定义RAM授权策略
  2. 配置RBAC权限。有关具体步骤,请参见配置子账号RBAC权限
  3. 使用子账号登录容器服务管理控制台

    如果您之前已经给主账号进行了角色授权,子账号可以直接登录到容器服务管理控制台,并进行相应的操作。如果没有,请完成角色授权。详情请参见首次使用容器服务Kubernetes版