RAM用户被授权后,才可以进行工作流集群的相关查看和修改等操作。本文介绍如何为工作流集群的RAM用户授权。
索引
前提条件
授权说明
默认情况下,仅阿里云账号(即主账号)和工作流集群创建者账号拥有集群内Kubernetes资源的管理员权限。RAM用户(非工作流集群创建者)没有集群内任何Kubernetes资源的访问权限。
管理员或工作流集群创建者可通过以下方式为RAM用户授权,允许RAM访问操作工作流集群。
- 步骤一:为RAM用户授予RAM权限:授权后,RAM用户可以调用aliyun adcp命令行查看或修改工作流集群。
- 步骤二:为RAM用户授予工作流集群的RBAC权限:授权后,RAM用户可以通过kubectl或Argo CLI命令行或Argo UI查看操作工作流。
步骤一:为RAM用户授予RAM权限
工作流集群内置默认已创建AliyunAdcpFullAccess和AliyunAdcpReadOnlyAccess策略,可直接授权使用。关于授权具体操作,请参见为RAM用户授权。
| 系统策略 | 系统权限 | 说明 |
| AliyunAdcpFullAccess | 具有工作流集群的所有权限,可以运行aliyun adcp的所有子命令,可以创建集群,删除集群,用户授权,查看集群。 | 若RAM用户要成为工作流集群管理员,请授权AliyunAdcpFullAccess。 |
| AliyunAdcpReadOnlyAccess | 具有工作流集群的只读权限,可以运行aliyun adcp的所有Describe子命令,可以查看集群,获取集群的KubeConfig。 | 若RAM用户要成为工作流集群的使用者,仅提交工作流,则授权AliyunAdcpReadOnlyAccess。 |
步骤二:为RAM用户授予工作流集群的RBAC权限
工作流集群默认内置admin和dev的RBAC权限,可直接授权使用。
| RBAC权限名称 | 说明 |
| admin | 具有所有用户命名空间下的dev的所有权限,并可以操作集群层面的Namespace等资源。 |
| dev | 具有相应命名空间下工作流的所有权限。 |
为RAM用户授予工作流集群管理员admin和dev权限的方法如下。
授予工作流集群管理员admin权限
使用以下命令,为RAM用户授予工作流集群admin权限。
aliyun adcp GrantUserPermission --UserId 2176*** --ClusterId <clusterid> --RoleType cluster --RoleName admin| 字段 | 类型 | 是否必选 | 备注 |
| UserId | string | 是 | RAM用户ID。 |
| ClusterId | string | 是 | 授权目标工作流集群ID。 |
| RoleType | string | 是 | 授权类型,取值:
说明 admin权限的授权类型必须为 cluster集群维度,不可以为命名空间维度。 |
| RoleName | string | 是 | 预置的角色名称,取值:
|
| Namespace | string | 否 | 命名空间名称,集群维度授权时为空。 |
授予工作流集群命名空间dev权限
说明 dev权限的授权类型必须为
namespace命名空间维度,不可以为主控实例维度。使用以下命令,为RAM用户授予主控实例命名空间default的dev权限。
aliyun adcp GrantUserPermission --UserId 2176*** --ClusterId <clusterid> --RoleType namespace --Namespace default --RoleName dev相关操作
查询RAM用户RBAC权限
CLI示例aliyun adcp DescribeUserPermissions --UserId 2176***| 字段 | 类型 | 是否必选 | 备注 |
| UserId | string | 是 | RAM用户ID。 |
| 字段 | 类型 | 备注 | 示例 |
| RequestId | string | 请求ID。 | EA06613B-37A3-549E-BAE0-E4AD8A6E93D7 |
| Permissions | Object | 无 | 无 |
| RoleType | string | 预置的角色类型。取值:
| dev |
| ResourceType | string | 授权类型。取值:
| namespace |
| ResourceId | string | 集群访问配置。
| cffef3c9c7ba145b083292942a2c3****/test |
取消RAM用户RBAC权限
CLI示例aliyun adcp DeleteUserPermission --UserId 2176*** --ClusterId <clusterid>| 字段 | 类型 | 是否必选 | 备注 |
| UserId | string | 是 | RAM用户ID。 |
| ClusterId | string | 是 | 授权工作流集群ID。 |
| 字段 | 类型 | 备注 | 示例 |
| RequestId | string | 请求ID。 | EA06613B-37A3-549E-BAE0-E4AD8A6E93D7 |
反馈
- 本页导读 (1)
文档反馈