文档首页 > > 用户指南> 权限管理> 为子用户设置CCE权限> kubernetes RBAC授权

kubernetes RBAC授权

分享
更新时间: 2019/09/16 17:42

本章节通过简单的命名空间授权方法,将CCE服务的用户和用户组授予操作不同命名空间资源的权限,从而使用户和用户组在拥有对应的CCE集群标准权限的同时,又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。

配置说明

  • 您需要拥有一个华为云主账号,有一个或若干个用户组和子用户。
  • 本例将对用户和用户组授予操作不同命名空间资源的权限,在您的实际业务中,您可根据业务需求仅对用户或用户组授予不同的权限。
  • 本例仅用于给用户或用户组在未授权过的命名空间下新增权限,已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限” 的列表“操作”栏中单击“编辑权限”进行修改。
  • 当给用户或用户组添加多个权限时,多个权限会同时生效(取并集);为用户组设置的权限将作用于用户组下的全部用户。

限制条件

kubernetes RBAC的授权能力支持1.13版本集群。

在v1.11.7-r2版本的集群中默认开启RBAC功能,若需使用RBAC功能请将集群升级至v1.11.7-r2或以上版本。升级方法请参见集群升级

表1 各类型用户在不同版本集群中的权限对比

用户类型

集群版本< v1.11.7-r2

集群版本 >= v1.11.7-r2

主账号

所有权限

所有权限

赋予CCE Administrator权限的子用户

所有权限

所有权限

赋予CCE Admin或者CCE Viewer权限的子用户

所有权限

按照权限管理界面设置的命名空间权限处理

赋予Tenant Guest权限的子用户(未申请开启细粒度公测的账号)

只读权限

只读权限

赋予Tenant Guest权限的子用户(已申请开启细粒度公测的账号)

所有权限

说明:

开启细粒度公测后,行为有变,从只读变为所有权限

按照权限管理界面设置的命名空间权限处理

示例流程

命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离,使得它们既可以共享同一个集群的服务,也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群,用于多种工作用途,满足多用户的使用需求。

本章节将沿用为子用户设置CCE权限中创建的子用户“James”和用户组“开发人员组”进行示例,为子用户“James”和用户组“开发人员组”添加命名空间权限,可以参考如下操作:

图1 命名空间授权流程

步骤一:为子用户/用户组添加命名空间权限

本步骤将在CCE控制台中为子用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限,设置如下:

  1. 登录CCE控制台
  2. 单击左侧导航栏中的“权限管理”,进入权限管理页面。
  3. 单击“命名空间权限”页签,在命名空间权限列表右上方选择要添加授权的集群,单击“添加授权”按钮,进入添加授权页面。

    图2 添加授权

  4. 在添加授权页面,确认集群名称,选择该集群下要授权使用的命名空间,此处选择“default”。

    图3 选择命名空间

  5. 单击“添加用户权限”,为“开发人员组”增加“admin”权限,在展开的选项中进行如下配置:

    • 用户/用户组:选择“用户组”,并在二级选项中选择“开发人员组”。
    • 权限:选择“admin”

  6. 单击下方的“添加命名空间权限”,为用户“James”增加在另一个命名空间“dev-test”的权限,在展开的选项中进行如下配置:

    • 命名空间:选择“dev-test”。
    • 用户/用户组:选择“用户”,并在二级选项中选择“James”增加。
    • 权限:选择“view”
    图4 添加命名空间权限

  7. 单击“创建”,完成以上用户和用户组在命名空间中的相应权限设置,如图5

    图5 命名空间权限列表
    说明:

    经过以上操作,授权结果如下:

    • 由于“开发人员组”包含子用户“James”,因此子用户“James”也同时获得了在命名空间“default”的“admin”权限。
    • 为子用户“James”增加了在命名空间“dev-test”的“view”权限。

步骤二:用户登录并验证权限

使用子用户“James”登录云容器引擎控制台,验证授予的命名空间权限,验证步骤如下:

  1. 在华为云登录页面,单击右下角的“IAM用户登录”。

  2. 在“IAM用户登录”页面,输入账号名、用户名及用户密码,使用新创建的子用户登录。

    • 账号名为该IAM子用户所属华为云账号的名称。
    • 用户名和密码为账号在IAM创建子用户James时输入的用户名和密码,首次登录时需要重置密码。

    如果登录失败,您可以联系您的账号主体,确认用户名及密码是否正确,或是重置用户名及密码,重置方法请参见:忘记IAM用户密码

  3. 登录成功后,进入华为云控制台,登录后默认区域为“华为-北京一”,请先切换至授权区域。

  4. 在“服务列表”中选择“云容器引擎 CCE”,进入CCE控制台主界面,对子用户James的命名空间权限进行验证。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区