配置预置RBAC权限策略
更新时间:2024-12-04
CCE提供了对接Kubernetes RBAC的授权模式,便于对子用户进行细粒度的访问权限控制。本文介绍如何为子用户配置RBAC权限,实现对CCE集群和命名空间的权限控制。
公告
CCE集群服务对RBAC集群权限管理系统升级:
- 禁止未完成RBAC权限授予的子用户访问集群资源,请及时联系主账号完成RBAC授权,以免带来生产上的不便。
- 子用户将只拥有被指定授予的集群访问权限,原有的默认访问权限将被禁止。
授权说明
-
只有如下账号/用户/角色,才能配置集群的 RBAC 权限:
- 百度智能云主账号。
- 对指定集群拥有RBAC管理权限,且具有 IAMReadOnlyAccessPolicy 或 IAMFullControlAccessPolicy 权限的 IAM 用户、IAM 角色。
- IAM 用户、IAM 角色默认对自身创建的集群拥有管理员权限。
前提条件
- 已创建集群。详细操作,请参见 创建集群 https://cloud.baidu.com/doc/CCE/s/zjxpoqohb。
- IAM 用户已完成 CCE 侧的相关权限配置。详细操作,请参见 配置IAM预置权限策略https://cloud.baidu.com/doc/CCE/s/gjyjic3yw 和 配置IAM自定义权限策略 https://cloud.baidu.com/doc/CCE/s/xliwqgr91。
- 已创建 IAM 角色。详细操作,请参见 创建角色 https://cloud.baidu.com/doc/IAM/s/kjxljbeiz 。
权限说明
CCE内置了三种级别的RBAC权限,如下所示:
| 权限 | 权限说明 |
|---|---|
| 管理员 | 对集群的所有操作权限 |
| 运维开发 | 对命名空间下的资源有读写权限,对节点、命名空间、存储卷、存储类有只读权限 |
| 只读 | 仅对命名空间下的资源有只读权限 |
配置IAM用户的RBAC授权
- 登录百度智能云管理控制台,进入"产品服务->容器引擎 CCE",在左侧导航栏,点击 "集群管理->权限管理",进入权限管理页面。
- 在子用户列表中选择要授权的子用户,点击RBAC授权,进入RBAC授权页。
-
点击RBAC授权列表左上方添加授权,弹出添加授权配置框,选择需要配置的权限,以及对应的集群和命名空间。
说明
- 如果子用户在IAM中没有被授予CCE任何权限,则授权不会生效。
- 当集群范围选择“所有集群”时,仅包含当前已创建的全部集群,若后续新建集群还需再次授权。
- 添加授权成功后,可以查看授权列表。
配置IAM角色的RBAC授权
1.登录百度智能云管理控制台,进入"产品服务->容器引擎 CCE",在左侧导航栏,点击 "集群管理->权限管理",进入IAM角色Tab页面。
2.输入需要授予 RBAC 权限的 IAM 角色名称,然后单击 管理角色权限。
3.在角色权利管理页面左上方添加授权,弹出添加授权配置框,选择需要配置的权限,以及对应的集群和命名空间。
4.单击 确定,配置完成 IAM 角色的 RBAC 权限。
FAQ
作为一个子用户,想对角色ggg 授予CCE集群A和CCE集群B的RBAC管理员权限,需要具备哪些前提条件?
- 当前子用户具有目标集群A和目标集群B的IAM权限
- 当前子用户拥有目标集群A和目标集群B的RBAC管理员权限
- 当前子用户拥有IAMReadOnlyAccessPolicy 或 IAMFullControlAccessPolicy 权限