ack-ram-authenticator

索引

• 组件介绍

• 使用说明

• 变更记录

组件介绍

ack-ram-authenticator组件是面向ACK托管集群的认证插件，基于Kubernetes原生Webhook Token认证方式，实现通过RAM完成集群APIServer的请求认证。同时，该组件通过ConfigMap和CRD等形式提供RAM身份和RBAC权限的映射关系，帮您更灵活地配置RBAC鉴权。

对于阿里云SSO角色对接使用ACK托管集群的场景 , ack-ram-authenticator组件可以帮助您在请求APIServer时，下发请求者身份对应的Session名称，从而更安全地审计不同用户在扮演相同角色后对集群APIServer的访问请求。

使用ack-ram-authenticator组件后，集群的Webhook认证流程如下图所示。

1. 当使用kubectl等工具发起对APIServer的认证请求时，首先通过KubeConfig中的exec命令插件执行机制，通过执行ack-ram-tool客户端工具生成签名后的STS请求URL。

2. 发送Webhook认证请求到ACK托管集群APIServer，通过Webhook认证配置路由到ack-ram-authenticator组件。

3. 基于接收到的Token URL请求对阿里云RAM GetCallerIdentity接口进行认证。若认证成功，在ack-ram-authenticator组件中会寻找接口返回的RAM身份和用户在指定ConfigMap或RAMIdentityMapping的CR中配置的身份映射。

4. 在APIServer中对映射后的用户和用户组身份进行原生RBAC鉴权，并返回鉴权结果。

使用说明

关于如何使用ack-ram-authenticator进行ACK托管集群的Webhook认证，请参见通过ack-ram-authenticator完成ACK托管集群APIServer的Webhook认证。

变更记录

2023年05月