文档首页 > > 用户指南> 权限管理> CCE权限说明

CCE权限说明

分享
更新时间: 2020/05/18 GMT+08:00

CCE权限管理是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。

CCE的权限管理包括“集群权限”“命名空间权限”两种能力,能够从集群和命名空间层面对用户组或用户进行细粒度授权,具体解释如下:

  • 集群权限是基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过集群权限设置可以让某些用户组操作集群(如创建、删除集群等),而让某些用户组仅能查看集群。
  • 命名空间权限是基于Kubernetes RBAC能力的授权。通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。

“集群权限”仅针对与集群相关的资源(如集群、节点)有效,您必须确保同时配置了“命名空间权限”,才能有操作Kubernetes资源(如工作负载、Service等)的权限。

图1 CCE权限管理

集群权限

集群权限是基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权,当前包含CCE FullAccessCCE ReadOnlyAccess两种策略。

CCE FullAccess策略权限如下:

表1 CCE FullAccess策略主要权限

操作(Action)

Action详情

说明

cce:*:*

cce:cluster:create

创建集群

cce:cluster:delete

删除集群

cce:cluster:update

更新集群,如后续允许集群支持RBAC,调度参数更新等

cce:cluster:upgrade

升级集群

cce:cluster:start

唤醒集群

cce:cluster:stop

休眠集群

cce:cluster:list

查询集群列表

cce:cluster:get

查询集群详情

cce:node:create

添加节点

cce:node:delete

删除节点/批量删除节点

cce:node:update

更新节点,如更新节点名称

cce:node:get

查询节点详情

cce:node:list

查询节点列表

cce:job:list

查询任务列表(集群层面的job)

cce:job:delete

删除任务/批量删除任务(集群层面的job)

cce:job:get

查询任务详情(集群层面的job)

cce:storage:create

创建存储

cce:storage:delete

删除存储

cce:kubernetes:*

操作所有kubernetes资源,具体权限请在命名空间权限中配置。

ecs:*:*

-

ECS(弹性云服务器)服务的所有权限。

evs:*:*

具体action详见:云硬盘v2接口的授权信息

EVS(云硬盘)的所有权限。

可以将云硬盘挂载到云服务器,并可以随时扩容云硬盘容量

vpc:*:*

-

VPC(虚拟私有云,包含二代ELB)的所有权限。

创建的集群需要运行在虚拟私有云中,创建命名空间时,需要创建或关联VPC,创建在命名空间的容器都运行在VPC之内。

sfs:*:get*

-

SFS(弹性文件服务)资源详情的查看权限。

aom:*:get

-

AOM(应用运维管理)资源详情的查看权限。

aom:*:list

-

AOM(应用运维管理)资源列表的查看权限。

aom:autoScalingRule:*

-

AOM(应用运维管理)自动扩缩容规则的所有操作权限。

CCE ReadOnlyAccess策略权限如下:

表2 CCE ReadOnlyAccess策略主要权限

操作(Action)

操作(Action)

说明

cce:*:get

cce:cluster:get

查询集群详情

cce:node:get

查询节点详情

cce:job:get

查询任务详情(集群层面的job)

cce:*:list

cce:cluster:list

查询集群列表

cce:node:list

查询节点列表

cce:job:list

查询任务列表(集群层面的job)

cce:kubernetes:*

-

操作所有kubernetes资源,具体权限请在命名空间权限中配置。

ecs:*:get

-

ECS(弹性云服务器)所有资源详情的查看权限。

CCE中的一个节点就是具有多个云硬盘的一台弹性云服务器

ecs:*:list

-

ECS(弹性云服务器)所有资源列表的查看权限。

evs:*:get

-

EVS(云硬盘)所有资源详情的查看权限。可以将云硬盘挂载到云服务器,并可以随时扩容云硬盘容量

evs:*:list

-

EVS(云硬盘)所有资源列表的查看权限。

evs:*:count

-

-

vpc:*:get

-

VPC(虚拟私有云,包含二代ELB)所有资源详情的查看权限。

创建的集群需要运行在虚拟私有云中,创建命名空间时,需要创建或关联VPC,创建在命名空间的容器都运行在VPC之内

vpc:*:list

-

VPC(虚拟私有云,包含二代ELB)所有资源列表的查看权限。

sfs:*:get*

-

SFS(弹性文件服务)服务所有资源详情的查看权限。

aom:*:get

-

AOM(应用运维管理)服务所有资源详情的查看权限。

aom:*:list

-

AOM(应用运维管理)服务所有资源列表的查看权限。

aom:autoScalingRule:*

-

AOM(应用运维管理)服务自动扩缩容规则的所有操作权限。

命名空间权限

Kubernetes RBAC API定义了四种类型:Role、ClusterRole、RoleBinding与ClusterRoleBinding,这四种类型之间的关系和简要说明如下:

  • Role和ClusterRole:描述角色和权限的关系。在Kubernetes的RBAC API中,一个角色定义了一组特定权限的规则。命名空间范围内的角色由Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。
  • RoleBinding和ClusterRoleBinding:描述 subjects (包含users, groups, service accounts)和 角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户,则该用户或用户组则具有对应绑定的Role或ClusterRole定义的权限。
表3 RBAC API所定义的四种类型

类型名称

说明

Role

Role对象只能用于授予对某一namespace中资源的访问权限。

ClusterRole

ClusterRole对象可以授予整个集群范围内资源访问权限, 也可以对以下几种资源的授予访问权限:

  • 集群范围资源(例如节点,即node)。
  • 非资源类型endpoint(例如”/healthz”)。
  • 跨所有namespaces的范围资源(例如pod,需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)。

RoleBinding

RoleBinding可以将同一namespace中的subject(用户)绑定到某个具有特定权限的Role下,则此subject即具有该Role定义的权限。

ClusterRoleBinding

ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定,授予权限。

CCE命名空间权限

CCE中的命名空间权限是基于Kubernetes RBAC能力的授权,通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。

CCE的kubernetes资源通过命名空间进行权限设置,目前包含admineditview三种角色,详见表4

表4 用户/用户组角色说明

默认的ClusterRole

描述

admin

允许admin访问,可以限制在一个namespace中使用RoleBinding。如果在RoleBinding中使用,则允许对namespace中大多数资源进行读写访问,其中包含创建角色和角色绑定的能力。这一角色不允许操作namespace本身,也不能写入资源限额。

edit

允许对命名空间内的大多数资源进行读写操作,不允许查看或修改角色,以及角色绑定。

view

允许对多数对象进行只读操作,但是对角色、角色绑定及secret是不可访问的。

更多Kubernetes RBAC授权的内容可以参考Kubernetes RBAC官方文档

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问