吊销集群访问凭证
在多租户场景下,CCE会为每个用户生成一个独立的集群访问凭证(kubeconfig或X509证书),该凭证包含了用户身份及授权信息,以便其可以连接到相应的集群并执行授权范围内的操作。这种方式可以确保不同用户之间的隔离和安全性,同时也方便了管理和授权。但该凭证的有效时间一般为固定值,当持有该凭证的员工离职或已授权的凭证疑似泄露等场景发生时,需要手动吊销集群访问凭证,以确保集群安全。
吊销集群访问凭证的存在两类场景:
- 子用户(非管理员):支持吊销自身的集群访问凭证。
- 主账号或管理员用户(admin用户组用户):支持吊销其他用户或委托账号的集群访问凭证。
吊销集群访问凭证后,该凭证的持有人将无法访问集群,且无法恢复已吊销的凭证,请谨慎操作。
如需访问集群,需要为该用户重新生成集群访问凭证。
前提条件
您需要拥有一个v1.19.16-r50、v1.21.11-r10、v1.23.9-r10、v1.25.4-r10、v1.27.1-r10及以上版本的集群。
子用户(非管理员)操作
非管理员的子用户仅支持吊销自身的集群访问凭证,请参考如下操作。
- 登录CCE控制台,单击集群名称进入集群。
- 在左侧导航栏中选择“总览”,在右边“连接信息”版块中,单击“吊销”。
图1 吊销集群访问凭证
- 如果您确定要吊销自身的集群访问凭证,请在二次确认框中输入REVOKE后单击“确定”。
主账号或管理员用户(admin用户组用户)操作
主账号或管理员用户(admin用户组用户)支持吊销其他用户或委托账号的集群访问凭证,请参考如下操作。
- 登录CCE控制台,单击集群名称进入集群。
- 在左侧导航栏中选择“总览”,在右边“连接信息”版块中,单击“吊销”。
图2 吊销集群访问凭证
- 选择证书申请人进行证书吊销。吊销操作无法恢复,请谨慎操作。
- 用户:选择一个IAM用户,吊销其集群凭证。
- 委托账号:选择一个委托账号,吊销其集群凭证。
- 指定用户ID/委托ID:若您的用户已经删除,或者您通过身份提供商方式登录,需要您手动填写用户 ID。若您的委托账号已经删除,需要您手动填写委托 ID。
- 方式一:如果您可以获取此证书申请人下载的证书,证书的通用名称 (CN - Common Name) 即所需 ID。
- 方式二:如果您无法获取到此证书申请人下载的证书,您可以通过云审计服务查询删除用户 (deleteUser)、删除委托 (deleteAgency) 的事件,事件对应的资源 ID 分别是已删除用户、已删除委托账号的 ID。
如果使用上述方式均无法获取到所需 ID,请提交工单联系运维人员处理。
- 如果您确定吊销所选用户的集群访问凭证,请在二次确认框中输入REVOKE后单击“确定”。