配置预置RBAC权限策略
更新时间:2023-09-01
CCE提供了对接Kubernetes RBAC的授权模式,便于对子用户进行细粒度的访问权限控制。本文介绍如何为子用户配置RBAC权限,实现对CCE集群和命名空间的权限控制。
公告
CCE集群服务对RBAC集群权限管理系统升级:
- 禁止未完成RBAC权限授予的子用户访问集群资源,请及时联系主账号完成RBAC授权,以免带来生产上的不便。
- 子用户将只拥有被指定授予的集群访问权限,原有的默认访问权限将被禁止。
授权说明
- 主账号或具有管理员权限的子用户才能给子用户进行RBAC授权。
- 子用户需要先在IAM中至少被授予CCE的只读权限,才可以进行RBAC授权。
权限说明
CCE内置了三种级别的RBAC权限,如下所示:
| 权限 | 权限说明 |
|---|---|
| 管理员 | 对集群的所有操作权限 |
| 运维开发 | 对命名空间下的资源有读写权限,对节点、命名空间、存储卷、存储类有只读权限 |
| 只读 | 仅对命名空间下的资源有只读权限 |
操作步骤
- 登录百度智能云管理控制台,进入"产品服务->容器引擎 CCE",在左侧导航栏,点击 "集群管理->权限管理",进入权限管理页面。
- 在子用户列表中选择要授权的子用户,点击RBAC授权,进入RBAC授权页。
-
点击RBAC授权列表左上方添加授权,弹出添加授权配置框,选择需要配置的权限,以及对应的集群和命名空间。
说明
- 如果子用户在IAM中没有被授予CCE任何权限,则授权不会生效。
- 当集群范围选择“所有集群”时,仅包含当前已创建的全部集群,若后续新建集群还需再次授权。
- 添加授权成功后,可以查看授权列表。