文档

授权概述

更新时间:

服务网格ASM实例的授权分为RAM授权和RBAC授权两部分。本文介绍两种授权的内容以及如何进行授权。

服务网格产品授权

如果您想要完整地使用服务网格ASM的各项能力,您必须为ASM授权,使其能够访问您的其他云产品,例如ASM需要访问日志服务为您创建审计日志Project和LogStore,您才能使用日志服务采集数据平面的AccessLog。ASM通过服务关联角色获取相应的云产品权限,您需要创建服务关联角色,完成对服务网格产品的授权。具体操作,请参见管理ASM服务关联角色

RAM用户授权

通过RAM用户使用服务网格时涉及RAM权限和RBAC权限,您需要根据需求为RAM用户针对两种权限分别进行授权。

RAM授权

在企业对接RAM的账号系统中,运维人员通过RAM用户(即子账号)管理云服务资源是一个常见场景。然而默认情况下RAM用户没有使用云服务OpenAPI的任何权限,为了保证RAM用户的正常使用,需要对RAM用户授权。

您可以通过授予RAM用户OpenAPI的权限,控制RAM用户ASM控制台操作的权限和OpenAPI操作的权限,实现细粒度的云资源访问控制。更多信息,请参见为RAM用户和RAM角色授权

RBAC授权

RBAC授权是网格维度的权限控制,用于控制RAM用户ASM自定义资源(例如虚拟服务、目标规则等)的操作权限,一个RAM用户对不同的网格实例可以有不同的RBAC权限。

ASM内置了以下四种角色,分别对应不同的RBAC权限。您可以通过ASM控制台给RAM用户授予以下预置角色。

角色

集群内RBAC权限

网格管理人员

对所有命名空间下所有资源(即ASM的自定义资源)的读写权限。

Istio资源管理人员

对所有命名空间下除ASM网关(IstioGateway)之外的资源拥有读写权限。

网格管理受限人员

对所有命名空间或所选命名空间下控制台可见资源(即ASM的自定义资源)的只读权限。

无权限

对所有命名空间下所有资源(即ASM的自定义资源)没有任何读写权限。

为RAM用户授权

  1. 在RAM控制台创建RAM用户。具体操作,请参见创建RAM用户

  2. 根据需要授予RAM用户相应的RBAC权限。具体操作,请参见授予RAM用户和RAM角色RBAC权限

  3. 根据需要授予RAM用户相应的RAM策略。具体操作,请参见为RAM用户和RAM角色授权

  • 本页导读 (1)