更新时间:2020-07-01 19:05:49
容器服务权限管理包括 IAM 授权和 RBAC 授权。
IAM (Identity and Access Management) 是网宿云为客户提供的用户身份管理与资源访问控制服务,可以帮助您安全地控制对网宿云资源的访问。您可以使用 IAM 创建、管理 IAM 用户,控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。
详细功能请参考 IAM帮助文档
以下操作可通过 IAM 控制权限,子账号默认不分配任何操作权限。
Action | 说明 | 对应资源 |
---|---|---|
CreateCluster | 创建集群 | cluster |
DeleteCluster | 删除集群 | cluster/名称 |
ListClusters | 查看集群列表 | cluster/名称 |
GetClusterDetails | 查看集群详情 | cluster/名称 |
OpenCms | 激活云监控 | cluster/名称 |
OpenLms | 激活日志服务 | cluster/名称 |
ScaleCluster | 集群扩缩容 | cluster/名称 |
ListRepository | 查看本地仓库列表 | repository/名称 |
ResetRepositoryPassword | 本地仓库密码重置 | repository/名称 |
CreateRepository | 创建本地仓库 | repository |
ManageRepository | 管理本地仓库 | repository/名称 |
DeleteRepository | 删除本地仓库 | repository/名称 |
ListImages | 查看镜像列表 | image/repository/名称 |
DeleteImage | 删除镜像 | image/repository/名称 |
ListCharts | 查看Chart列表 | chart/名称 |
DeleteChart | 删除Chart | chart/名称 |
CreateTemplates | 创建模板 | template |
ListTemplates | 查看模板列表 | template/名称 |
ModifyTemplate | 修改模板 | template/名称 |
DeleteTemplate | 删除模板 | template/名称 |
RBACManage | 权限管理 | account/子账号名称 |
DeleteAppVersion | 删除应用历史版本 | cluster/应用名称 |
k8s 集群通过RBAC 授权控制用户是否能够调用 Apiserver 访问 k8s 集群内资源,详细功能可参考Using RBAC Authorization。
以下角色为容器服务预置角色,也可通过自定义角色灵活控制子账号权限。
角色 | 权限 |
---|---|
管理员 | 拥有所有命名空间下资源的读写 权限,对节点、数据卷、命名空间、资源配额的读写 权限 |
运维 | 拥有所有命名空间下控制台可查看资源的读写 权限,对节点,数据卷,命名空间,资源配额的只读 权限 |
读写权限 | 拥有所选命名空间下控制台可查看资源的读写 权限 |
只读权限 | 拥有所选命名空间下控制台可查看资源的只读 权限 |
自定义 | 权限为所选ClusterRole 的权限 |
进入集群管理下权限管理,选择子账号点击设置权限。
填加一条规则,选择集群、命名空间以及分配对应的权限。