更新时间:2022-11-24 GMT+08:00
身份认证与访问控制
身份认证
用户使用CCE接口的方式有多种,包括CCE控制台、API、SDK等,无论使用何种方式访问CCE集群,只有经过认证的请求才可以访问成功。
CCE提供的身份认证可以分为云服务和集群两个层面:
从云服务层面出发,CCE的接口通过API网关开放,支持操作云服务层面的基础设施(如创建节点),也可以调用集群层面的资源(如创建工作负载),存在如下两种认证方式,您可以选择其中一种进行认证鉴权,详情请参见认证鉴权。
- Token认证:通过Token认证通用请求。关于Token的详细介绍及获取方式,请参见获取IAM用户Token(使用密码)
- AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式,请参见访问密钥(AK/SK)。
从集群层面出发,CCE支持直接通过Kubernetes原生API Server来调用集群层面的资源(如创建工作负载),但不支持操作云服务层面的基础设施(如创建节点)。该方式通过客户端证书(KubeConfig)来访问集群,详情请参见通过kubectl连接集群。您可以通过以下方式获取KubeConfig:
访问控制
CCE支持通过权限管理(IAM权限、命名空间权限)实现访问控制,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限,详情请参见权限管理。
权限控制 |
简要说明 |
详细介绍 |
|---|---|---|
IAM权限 |
基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过集群权限设置可以让某些用户组操作集群(如创建/删除集群、节点、节点池、模板、插件等),而让某些用户组仅能查看集群。 |
|
命名空间权限 |
基于Kubernetes RBAC(Role-Based Access Control,基于角色的访问控制)能力的授权,通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强,可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 |
父主题: 安全
