服务网格ASM实例的授权分为RAM授权和RBAC授权两部分。本文介绍两种授权的内容以及如何进行授权。
服务网格产品授权
如果您想要完整地使用服务网格ASM的各项能力,您必须为ASM授权,使其能够访问您的其他云产品,例如ASM需要访问日志服务为您创建审计日志Project和LogStore,您才能使用日志服务采集数据平面的AccessLog。ASM通过服务关联角色获取相应的云产品权限,您需要创建服务关联角色,完成对服务网格产品的授权。具体操作,请参见管理ASM服务关联角色。
RAM用户授权
通过RAM用户使用服务网格时涉及RAM权限和RBAC权限,您需要根据需求为RAM用户针对两种权限分别进行授权。
RAM授权
在企业对接RAM的账号系统中,运维人员通过RAM用户(即子账号)管理云服务资源是一个常见场景。然而默认情况下RAM用户没有使用云服务OpenAPI的任何权限,为了保证RAM用户的正常使用,需要对RAM用户授权。
您可以通过授予RAM用户OpenAPI的权限,控制RAM用户ASM控制台操作的权限和OpenAPI操作的权限,实现细粒度的云资源访问控制。更多信息,请参见为RAM用户和RAM角色授权。
RBAC授权
RBAC授权是网格维度的权限控制,用于控制RAM用户ASM自定义资源(例如虚拟服务、目标规则等)的操作权限,一个RAM用户对不同的网格实例可以有不同的RBAC权限。
ASM内置了以下四种角色,分别对应不同的RBAC权限。您可以通过ASM控制台给RAM用户授予以下预置角色。
角色 | 集群内RBAC权限 |
网格管理人员 | 对所有命名空间下所有资源(即ASM的自定义资源)的读写权限。 |
Istio资源管理人员 | 对所有命名空间下除ASM网关(IstioGateway)之外的资源拥有读写权限。 |
网格管理受限人员 | 对所有命名空间或所选命名空间下控制台可见资源(即ASM的自定义资源)的只读权限。 |
无权限 | 对所有命名空间下所有资源(即ASM的自定义资源)没有任何读写权限。 |
为RAM用户授权
在RAM控制台创建RAM用户。具体操作,请参见创建RAM用户。
根据需要授予RAM用户相应的RBAC权限。具体操作,请参见授予RAM用户和RAM角色RBAC权限。
根据需要授予RAM用户相应的RAM策略。具体操作,请参见为RAM用户和RAM角色授权。