权限概述
概述
注册百度智能云账号后,系统自动创建的超级管理员用户即为账号主用户,默认拥有云账户的全部权限和管理全部云资源的权限。在多人共享资源和协作管理场景下,管理员可以创建子用户,实现不同子用户使用不同的用户名密码,并拥有不同的云资源访问权限,更多信息请参见 百度智能云账户身份体系。
默认情况下,子用户没有使用 CCE 的任何权限,因此需要管理员授权子用户拥有相应权限。
前提条件
- 已使用主用户(超级管理员)登录百度智能云控制台。
- 已创建需要授权的 IAM 子用户或用户组。
- 已准备可授权的 CCE 集群,并明确授权作用范围(集群级或命名空间级)。
CCE 授权体系
CCE 权限管理包括百度智能云多用户访问控制(IAM)策略授权和 Kubernetes 角色访问控制(RBAC)授权,支持从集群和命名空间级别对子用户或用户组进行细粒度授权。CCE 授权可分为两个使用阶段:
- 第一阶段是基于 IAM 策略的授权,管理员对 IAM 子用户或用户组授予 CCE 集群级别(集群、节点、节点组等资源)的只读或管理权限(例如创建/删除集群、添加/移出节点、创建/删除节点组等),授权将作用于 CCE 整个产品,更多信息请参见 配置 IAM 预置权限策略。
- 第二阶段是基于 Kubernetes RBAC 的授权,管理员对 IAM 子用户授予 CCE 集群命名空间级别(Kubernetes 资源)的只读、运维开发或管理权限(例如创建/删除工作负载、Service、Ingress 等),授权作用于 CCE 某个集群或集群下某个命名空间,更多信息请参见 配置预置 RBAC 权限策略。## IAM 策略授权(CCE 集群级)
操作步骤
导航路径:控制台->多用户访问控制(IAM)->用户管理->子用户。
按用户组授权时,导航路径:控制台->多用户访问控制(IAM)->组管理。
步骤 1:进入 IAM 并选择目标授权对象
在 【子用户】 或 【组管理】 列表中选择目标授权对象,并进入详情页。
步骤 2:授予 CCE 集群级权限(只读或管理)
在对象详情页的 【权限信息】 区域点击 【+ 授权】。在 【添加授权】 弹窗中检索并选择 CCE 相关策略,确认策略进入已选策略列表。
步骤 3:按需配置资源范围与管理动作
如需限制可访问资源范围及动作权限,进入 【策略管理】 并点击 【+ 创建策略】。按业务需要选择创建方式并完成策略配置后,再用于授权。
步骤 4:保存授权并确认生效
返回 【添加授权】 弹窗并点击 【确定】 保存。保存后在对象的 【权限信息】 列表中确认已存在 CCE 策略,即表示 IAM 集群级授权已生效。
更多策略说明请参见:配置 IAM 预置权限策略
Kubernetes RBAC 授权(CCE 集群/命名空间级)
操作步骤
导航路径:控制台->云容器引擎 CCE->集群管理->权限管理->IAM 用户。
步骤 1:进入目标集群权限管理
在 CCE 控制台进入 【集群管理】 > 【权限管理】,打开 IAM 用户的 RBAC 授权管理页面。
步骤 2:选择需要授权的 IAM 子用户
在 【权限管理】 > 【IAM 用户】 列表中选择目标子用户,点击 【RBAC 授权】 并进入 【用户权限】 页面。
步骤 3:设置授权作用范围(集群级/命名空间级)
点击 【添加 RBAC 授权】 后,在弹窗中选择目标集群,并按需选择 【全部命名空间】 或指定命名空间。
步骤 4:选择 RBAC 权限级别
在 【RBAC 权限】 中按需选择 【只读】、【运维开发】 或 【管理员】。
步骤 5:授予 Kubernetes 资源操作权限
通过预置 RBAC 角色完成资源操作授权,并按业务需求配置工作负载、Service、Ingress 等资源的权限范围。
步骤 6:保存并验证授权生效范围
点击 【确认】 保存授权。在用户权限列表中核对新增记录的集群、命名空间和权限级别,确认授权范围符合预期。
更多信息请参见:配置预置 RBAC 权限策略
评价此篇文章