配置RAM用户或RAM角色RBAC权限

配置说明

为RAM用户或RAM角色授予RBAC权限

1. 登录容器计算服务控制台，在左侧导航栏选择授权管理。

2. 在授权管理页面的选择RAM用户配置向导，配置管理权限。

   重要

   因为ACS集群是ACK Serverless类型集群之一，所以如果您已经或者将通过ACK控制台对RAM用户或RAM角色授予“所有集群”RBAC权限，那么“所有集群”中包括ACS集群，您将无法再通过容器计算服务ACS产品控制台对ACS集群做单独授权，默认继承“所有集群”授权策略。

• 为RAM用户授权

  单击RAM 用户页签，在RAM用户列表，单击目标RAM用户右侧的管理权限，进入集群 RBAC 配置配置向导。

• 为RAM角色授权

  单击RAM 角色页签，输入RAM 角色名称后单击管理权限，进入集群 RBAC 配置配置向导。

1. 单击集群 RBAC 配置配置向导，单击添加权限，为目标RAM用户或RAM角色添加集群和命名空间级别的权限配置，并选择相应的预置角色，然后单击下一步。

   说明

   • ACS预置角色包括管理员、运维人员、开发人员和受限用户4种标准的访问权限，可满足大部分用户在容器计算服务控制台上的使用需求。如果您想自由定义集群的访问权限，可选择ACS内置的自定义角色，使用自定义权限功能。

   • 在一个目标集群或命名空间中为RAM用户或RAM角色的授权时，支持配置一个预置角色，多个自定义角色。

   • 如果您希望在所有集群维度为RAM用户或RAM角色进行一键授权，使得后续新创建的集群也会为被授权的RAM用户或RAM角色自动绑定已经授权的预置角色，您可以选择集群为所有集群。

   展开查看预置角色权限说明

   预置角色	集群内RBAC权限
   管理员	对所有命名空间下所有资源的读写权限。
   运维人员	对所有命名空间下控制台可见Kubernetes资源的读写权限，对集群存储卷、命名空间、配额的只读权限。
   开发人员	对所有命名空间或所选命名空间下控制台可见Kubernetes资源的读写权限。
   受限用户	对所有命名空间或所选命名空间下控制台可见Kubernetes资源的只读权限。
   自定义	权限由您所选择的ClusterRole决定，请在确定所选ClusterRole对各类资源的操作权限后再进行授权，以免RAM用户或RAM角色获得不符合预期的权限。您可以参考下文，展开查看如何查看自定义权限。 重要 RAM用户或RAM角色被授予cluster-admin权限后，在该集群内可视为与阿里云账号有相同权限的超级账号，拥有操作集群内所有资源的任意权限。请谨慎授予。

   展开查看如何查看自定义权限

   1. 单击自定义，然后单击右侧的查看，查看对应自定义权限的详情。

   2. 登录集群节点，执行以下命令，查看自定义权限的详情。

      kubectl get clusterrole

      预期输出：

      NAME                                                                   AGE                                     13d
      admin                                                                  13d
      arms-aliyunserviceroleforarms-clusterrole                              13d
      asi-pod-patch                                                          13d
      asi:view                                                               13d
      cluster-admin                                                          13d                                                              13d
      edit                                                                   13d                                                           13d
      secret-reader                                                          13d
      system:aggregate-to-admin                                              13d
      system:aggregate-to-edit                                               13d
      system:aggregate-to-view                                               13d
      ....  
      system:volume-scheduler                                                13d
      view                                                                   13d         

      以超级管理员cluster-admin为例，执行以下命令，查看其权限详情。

      重要

      RAM用户或RAM角色被授予cluster-admin权限后，在该集群内可视为与阿里云账号有相同权限的超级账号，拥有操作集群内所有资源的任意权限。请谨慎授予。

      kubectl get clusterrole cluster-admin -o yaml

      预期输出：

      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRole
      metadata:
        annotations:
          rbac.authorization.kubernetes.io/autoupdate: "true"
        creationTimestamp: 2022-12-30T08:31:15Z
        labels:
          kubernetes.io/bootstrapping: rbac-defaults
        name: cluster-admin
        resourceVersion: "57"
        selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/cluster-admin
        uid: 2f29f9c5-cdf9-11e8-84bf-00163e0b2f97
      rules:
      - apiGroups:
        - '*'
        resources:
        - '*'
        verbs:
        - '*'
      - nonResourceURLs:
        - '*'
        verbs:
        - '*'

2. 在授权提交页签，根据页面提示进行操作。

   • 如果出现授权成功，表示该RAM用户或RAM角色已被授予RAM权限，RBAC授权成功，操作结束。

   • 如果出现报错，表示该RAM用户或RAM角色未被授予RAM权限。请按照页面提示，通过RAM控制台对RAM用户或RAM角色授予指定集群的只读权限。

     1. 在授权提交配置向导，单击复制，然后单击策略管理跳转至RAM控制台的创建权限策略页面。

     2. 在脚本编辑页签，将上一步复制的内容粘贴到策略内容中替换原有内容，单击继续编辑基本信息，然后单击确定。

     3. 在RAM控制台左侧导航栏，选择身份管理 > 用户，在用户列表，单击目标用户右侧的添加权限，并记录权限策略名称。

     4. 在添加权限面板，设置授权范围，选择权限为自定义策略，根据名称搜索或者在下表中找到待添加的自定义权限策略，单击策略名称，移动到右侧已选择区域，然后单击确定。权限成功添加后，单击完成。

     5. 返回容器计算服务控制台，在授权提交页面，单击授权提交，完成RAM用户或RAM角色RBAC的授权。

   配置完成后，您可以使用目标RAM用户或RAM角色登录容器计算服务控制台，并进行相关操作。

通过RAM用户或RAM角色为其他账号授予RBAC权限

默认情况下，RAM用户或RAM角色不具备对其他RAM用户或RAM角色进行RBAC授权的能力。如果您需要通过某个RAM用户或RAM角色为其他账号进行RBAC授权，您需要使用阿里云账号或具备所有集群RBAC管理员角色的RAM用户为该RAM用户或RAM角色授予所需的RAM权限和RBAC权限。

RAM权限

登录RAM管理控制台，参考以下代码示例，为该RAM用户或RAM角色授予所需的RAM权限。更多信息请参见自定义RAM授权策略。

{
    "Statement": [{
            "Action": [
                "ram:Get*",
                "ram:List*",
                "cs:DescribeClustersV1",
                "cs:GrantPermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ram:AttachPolicyToUser",
                "ram:AttachPolicy"
            ],
            "Effect": "Allow",
            "Resource":  [
                "acs:ram:*:*:policy/xxxxxx",
                "acs:*:*:*:user/*"
            ]
        }
    ],
    "Version": "1"
}

授权完成后，该RAM用户或RAM角色可以在指定策略范围内对其他RAM用户或RAM角色进行RAM授权。

RBAC权限

授予所需的RAM权限后，您还需要为该RAM用户或RAM角色在目标集群或命名空间上授予预置角色管理员或者自定义权限策略中的cluster-admin角色。具体操作，请参见为RAM用户或RAM角色授予RBAC权限。

将RAM用户或RAM角色设置为权限管理员

如果您不方便使用阿里云账号为RAM用户或RAM角色进行授权，您可以将某个RAM用户或RAM角色设置为权限管理员，随后使用该RAM用户或RAM角色进行授权操作。

1. 登录RAM管理控制台，定位目标RAM用户或RAM角色。

   • RAM用户

     选择身份管理 > 用户，在用户列表的操作列，单击添加权限。

   • RAM角色

     选择身份管理 > 角色，在角色列表的操作列，单击添加权限。

2. 在添加权限面板，选择授权范围，然后选择权限为系统策略，根据名称搜索或在列表中找到并单击AliyunRAMFullAccess和AliyunACCFullAccess系统策略，将该策略移动到右侧的已选择区域，然后单击确定。权限成功添加后，单击完成。

3. 登录容器计算服务控制台为该RAM用户或RAM角色在所有集群维度授予预置角色管理员。

   具体操作，请参见为RAM用户或RAM角色授予RBAC权限。

   完成上述步骤后，该RAM用户或RAM角色成为一个权限管理员，拥有给其他RAM用户或RAM角色进行RAM授权和RBAC授权的能力。

无权限错误码说明

当您通过控制台或OpenAPI所做的部分操作缺少所需的RBAC权限时，控制台或OpenAPI将返回相应的无权限错误码。各个错误码对应操作所需的集群RBAC权限说明如下表所示。

相关文档

• 自定义RAM授权策略。

• 容器计算服务默认角色。

• 授权最佳实践。