CCE提供了对接Kubernetes RBAC的授权模式，便于对子用户进行细粒度的访问权限控制。本文介绍如何为子用户配置RBAC权限，实现对CCE集群和命名空间的权限控制。

公告

CCE集群服务对RBAC集群权限管理系统升级：

• 禁止未完成RBAC权限授予的子用户访问集群资源，请及时联系主账号完成RBAC授权，以免带来生产上的不便。
• 子用户将只拥有被指定授予的集群访问权限，原有的默认访问权限将被禁止。

授权说明

• 只有如下账号/用户/角色，才能配置集群的 RBAC 权限：

  • 百度智能云主账号。
  • 对指定集群拥有RBAC管理权限，且具有 IAMReadOnlyAccessPolicy 或 IAMFullControlAccessPolicy 权限的 IAM 用户、IAM 角色。
• IAM 用户、IAM 角色默认对自身创建的集群拥有管理员权限。

前提条件

• 已创建集群。详细操作，请参见创建集群。
• IAM 用户已完成 CCE 侧的相关权限配置。详细操作，请参见配置IAM预置权限策略和配置IAM自定义权限策略。
• 已创建 IAM 角色。详细操作，请参见创建角色。

权限说明

CCE内置了三种级别的RBAC权限，如下所示：

权限	权限说明
管理员	对集群的所有操作权限
运维开发	对命名空间下的资源有读写权限，对节点、命名空间、存储卷、存储类有只读权限
只读	仅对命名空间下的资源有只读权限

配置IAM用户的RBAC授权

1. 登录百度智能云管理控制台，进入"产品服务->容器引擎 CCE"，在左侧导航栏，点击 "集群管理->权限管理"，进入权限管理页面。
2. 在子用户列表中选择要授权的子用户，点击RBAC授权，进入RBAC授权页。

3. 点击RBAC授权列表左上方添加授权，弹出添加授权配置框，选择需要配置的权限，以及对应的集群和命名空间。

   

   说明

   • 如果子用户在IAM中没有被授予CCE任何权限，则授权不会生效。
   • 当集群范围选择“所有集群”时，仅包含当前已创建的全部集群，若后续新建集群还需再次授权。

4. 添加授权成功后，可以查看授权列表。

配置IAM角色的RBAC授权

1.登录百度智能云管理控制台，进入"产品服务->容器引擎 CCE"，在左侧导航栏，点击 "集群管理->权限管理"，进入IAM角色Tab页面。

2.输入需要授予 RBAC 权限的 IAM 角色名称，然后单击 管理角色权限。

3.在角色权利管理页面左上方添加授权，弹出添加授权配置框，选择需要配置的权限，以及对应的集群和命名空间。

4.单击 确定，配置完成 IAM 角色的 RBAC 权限。

FAQ

作为一个子用户，想对角色ggg 授予CCE集群A和CCE集群B的RBAC管理员权限，需要具备哪些前提条件？

1. 当前子用户具有目标集群A和目标集群B的IAM权限
2. 当前子用户拥有目标集群A和目标集群B的RBAC管理员权限
3. 当前子用户拥有IAMReadOnlyAccessPolicy 或 IAMFullControlAccessPolicy 权限