身份认证与访问控制
身份认证
用户使用CCE接口的方式有多种,包括CCE控制台、API、SDK等,无论使用何种方式访问CCE集群,只有经过认证的请求才可以访问成功。
CCE提供的身份认证可以分为云服务和集群两个层面:
- Token认证:通过Token认证通用请求。关于Token的详细介绍及获取方式,请参见获取IAM用户Token(使用密码)
- AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式,请参见访问密钥(AK/SK)。
访问控制
CCE支持通过权限管理(IAM权限、命名空间权限)实现访问控制,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限,详情请参见权限管理。
权限控制 |
简要说明 |
详细介绍 |
---|---|---|
IAM权限 |
基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过集群权限设置可以让某些用户组操作集群(如创建/删除集群、节点、节点池、模板、插件等),而让某些用户组仅能查看集群。 |
|
命名空间权限 |
基于Kubernetes RBAC(Role-Based Access Control,基于角色的访问控制)能力的授权,通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强,可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 |