自定义Kubernetes授权策略

角色访问控制RBAC(Role-Based Access Control)的Kubernetes对象Role和ClusterRole中包含一组代表相关权限的规则。Role用于在某个命名空间内设置访问权限,ClusterRole用于为集群范围的资源定义访问权限。本文介绍如何自行编写Kubernetes的ClusterRole和Role。

权限策略说明

您可自行编写权限策略,或通过容器计算服务控制台创建自定义策略。

Role:命名空间维度

如果您需要在命名空间内定义角色,则应该使用Role。

以下是一个位于default命名空间的Role的YAML示例,用来授予对Pods的所有权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test-role
  namespace: default
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch

ClusterRole:集群维度

如果您需要定义集群范围的角色,则应该使用ClusterRole。

以下是一个ClusterRole的示例,用来为任一特定命名空间中的Pods授予所有权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: test-clusterrole
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch

关于Role和ClusterRole的更多信息,请参见Role和ClusterRole

创建Kubernetes自定义授权策略

说明

本步骤展示了为RAM用户或RAM角色创建自定义ClusterRole,过程与创建Role大体相同。您可以根据实际需求调整相应操作。

  1. 登录容器计算服务控制台,在左侧导航栏选择集群

  2. 集群页面,单击目标集群名称,然后在左侧导航栏,选择安全管理 > 角色

  3. 角色页面,单击Cluster Role页签,然后单击创建

  4. 创建 YAML面板输入自定义策略的YAML内容,单击确定,创建ClusterRole。

    此步骤以集群维度的YAML为例,创建完成后,您可以在Cluster Role页签查看自定义权限test-clusterrole。

后续步骤

关于如何授予RAM用户或RAM角色自定义Kubernetes授权策略,请参见配置RAM用户或RAM角色RBAC权限

重要

当前容器计算服务授权管理仅支持自定义ClusterRole角色与集群内RBAC权限的绑定,不支持自定义Role角色与集群内RBAC权限的绑定。