服务网格ASM实例的授权分为RAM授权和RBAC授权两部分。本文介绍两种授权的内容以及如何进行授权。

RAM授权

RAM授权作用于网格实例管理接口的访问控制,当您需要创建网格或者对网格进行修改、删除或者添加集群等操作时,需要进行RAM授权。详情请参见自定义RAM授权策略

RBAC授权

如果网格实例是由主账号创建,并授权给子账号使用,主账号需要为子账号授予相应的RBAC权限。服务网格ASM的RBAC授权是基于Kubernetes集群内资源模型的访问控制,请参见授权概述

您可以通过ASM控制台给子账号授予以下预置角色。

角色 集群内RBAC权限
网格管理人员 对所有命名空间下所有资源的读写权限
网格管理受限人员 对所有命名空间或所选命名空间下控制台可见资源的只读权限
无权限 对所有命名空间下所有资源没有任何读写权限

如何授权

授权的过程分为RAM授权和RBAC授权。

  1. 在RAM控制台创建子账号,详情请参见创建RAM用户
  2. 自定义RAM授权策略, 详情请参见自定义RAM授权策略
  3. 根据需要授予子账号相应的RAM策略,详情请参见为RAM用户授权
  4. 如果网格实例是由主账号创建,并授权给子账号使用,主账号需要为子账号授予相应的RBAC权限。
    服务网格ASM的RBAC授权是基于Kubernetes集群内资源模型的访问控制,详情请参见配置子账号RBAC权限
  5. 设置网格审计所需的RAM授权, 详情请参见网格审计的子账户RAM授权