本文主要介绍如何配置子账号对應的Kubernetes集群内RBAC权限的指导
- 您需要拥有一个阿里云主账号,并有一个或若干个子账号
- 请先确保目标集群在RAM控制台中至少已被授予集群管理呮读授权。
- RAM授权作用于集群管理接口的访问控制您可以根据需要授予目标集群的读写策略:
- 读策略:集群只读权限,可用查看集群配置kubeconfig 等基本信息
- 写策略: 集群读写权限,集群伸缩、升级、删除添加节点等集群管控能力
- 如果某子账号在目标集群或命名空间上被授予预置的管理员角色或自定义中的cluster-admin角色,同时满足中的RAM授权配置 则该子账号在对应的目标集群或命名空间上可以给其他子账号授权。
- 由于阿裏云RAM的安全限制当您通过容器服务控制台的授权配置涉及到子账号RAM授权的修改时,需要您按照页面上给出的参考策略内容和操作说明茬RAM控制台进行目标子账号的手动授权。
容器服务近期已完成升级集群授权管理安全策略:
- 禁止所有未授权的子账号访问集群资源请及时對管理范围内的集群进行子账号应用权限设置及RAM授权操作。
- 子账号将只拥有授权域内集群的指定访问权限在授权域外的原有兼容访问模式将被禁止,
- 在Kubernetes菜单下单击左侧导航栏中的,进入授权管理页面
- 在子账号列表中选择需要授权的子账号,单击授权进入集群RBAC配置页媔。
-
单击集群RBAC配置页面的加号添加集群或命名空间级别的权限配置,并选择相应的预置角色;也可以单击配置行首的减号删除目标角色完成后单击下一步。
集群和命名空间的预置角色定义可查看下面的角色权限说明:
表 1. 角色权限说明 对所有命名空间下所有资源的读写权限 对所有命名空间下资源的读写权限对集群节点,存储卷命名空间,配额的只读权限 对所有命名空间或所选命名空间下资源的读写权限 对所有命名空间或所选命名空间下资源的只读权限 权限由您所选择的 ClusterRole 决定请在确定所选 ClusterRole 对各类资源的操作权限后再进行授权,以免子賬号获得不符合预期的权限请参见。
-
在授权提交页签如果出现授权成功,表示该子账号之前已被授予RAM权限此时也已完成RBAC授权,操作結束如果出现如所示,表示该子账号未被授予RAM权限请按照页面提示,通过RAM控制台对子账号授予指定集群的只读权限更多的权限请参見。
- 在授权提交页面单击复制后,再单击策略管理
- 跳转到RAM控制台页面,选择单击新建权限策略。
- 进入新建自定义权限策略页面自萣义策略名称,配置模式选择脚本配置使用Ctrl+V,将步骤6.b复制的内容粘贴到策略内容中单击确定。详细的操作请参见
- 选择,在需要授权嘚用户账号是什么的右侧单击添加权限。
- 在弹出的添加权限页面权限选择自定义添加权限,搜索或者在下表中找到自定义的策略名称单击移动到右侧已选择区域。单击确定完成对子账号在指定集群的只读能力的授权。
- 此时返回容器服务控制台,在授权提交页面單击授权提交,完成子账号RBAC的授权
- 配置完成后,您可以使用目标子账号登录容器服务控制台并进行相关操作。
阿里云容器服务预置了管理员、运维人员、开发人员和受限人员4种标准的访问权限可满足大部分用户账号是什么在容器服务控制台上的使用需求。如果您想自甴定义集群的访问权限可使用自定义权限功能。
阿里云容器服务内置了一些自定义权限
说明 其中cluster-admin权限值得关注,属于集群超级管理员權限对所有资源都默认拥有权限。
您可登录到集群Master节点执行以下命令,查看自定义权限的详情
以超级管理员cluster-admin为例,执行以下命令查看其权限详情。
说明 子账号被授予该集群角色后在该集群内,可视为与主账号有相同权限的超级账号拥有操作集群内所有资源的任意权限,建议谨慎授予
