本文介绍如何为子用户配置RBAC权限，实现对CCE集群命名空间的权限控制。

公告

CCE集群服务已完成RBAC集群权限管理系统升级

• 禁止未完成RBAC权限授予的子用户访问集群资源，请及时联系主账号完成RBAC授权，以免带来生产上的不便
• 子用户将只拥有被指定授予的集群访问权限，原有的默认访问权限将被禁止

授权说明

• 首先需要开通百度智能云主用户账号，以及一个或多个子用户账号
• 只能在主用户（或具有管理员权限的子用户）账号下，给子用户授权
• 子用户在IAM中至少被授予CCE只读权限，才可以进行RBAC授权。

权限说明

CCE内置了三种级别的RBAC权限，如下所示：

权限	权限说明
管理员	对集群的所有操作权限
运维开发	对命名空间下的资源有读写权限，对节点，namespace，存储卷，存储类有只读权限
只读	对命名空间下的资源有只读权限

操作步骤

1. 登录百度智能云管理控制台，进入 "产品服务->容器引擎 CCE"，在左侧导航栏，点击 "集群管理->权限管理"，进入权限管理页面。
2. 在子用户列表中选择要授权的子用户，点击RBAC授权，进入RBAC授权页。

3. 点击RBAC授权列表左上方添加授权，弹出添加授权配置框，选择需要配置的权限，以及对应的集群和命名空间。

4. 如果子用户在IAM中没有被授予CCE任何权限，则授权不成功。
5. 添加授权成功后，可以查看授权列表。

验证权限

配置default命名空间的运维开发权限给子用户，验证步骤如下：

1. 配置子用户权限

2. 子用户登录
3. 查看命名空间列表，只能看到default命名空间

4. 创建命名空间，提示“您没有当前操作的访问权限，请前往RBAC授权”