腾讯云容器服务 TKE 标准集群 - 配置子账号对单个 TKE 集群的管理权限

容器服务 TKE

简介/价格/文档

腾讯云容器服务 TKE 标准集群 - 配置子账号对单个 TKE 集群的管理权限

文档简介：

操作场景：您可以通过使用访问管理（Cloud Access Management，CAM）策略让用户拥有在容器服务（Tencent Kubernetes Engine，TKE）控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置单个集群的策略。

*此产品及展示信息均由腾讯云官方提供。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

操作场景

您可以通过使用访问管理（Cloud Access Management，CAM）策略让用户拥有在容器服务（Tencent Kubernetes Engine，TKE）控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置单个集群的策略。

操作步骤

配置对单个集群全读写权限

1. 登录 CAM 控制台。

2. 在左侧导航栏中，单击策略，进入策略管理页面。

3. 单击新建自定义策略，选择 “按策略语法创建” 方式。

4. 选择 “空白模板” 类型，单击下一步。

5. 自定义策略名称，将 “编辑策略内容” 替换为以下内容。

				
			{
		
			 "version": "2.0",
		
			 "statement": [
		
			 {
		
			 "action": [
		
			 "tke:*"
		
			 ],
		
			 "resource": [
		
			 "qcs::tke:sh::cluster/cls-XXXXXXX",
		
			 "qcs::cvm:sh::instance/*"
		
			 ],
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "cvm:*"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "vpc:*"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "clb:*"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "monitor:*",
		
			 "cam:ListUsersForGroup",
		
			 "cam:ListGroups",
		
			 "cam:GetGroup",
		
			 "cam:GetRole"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 }
		
			 ]
		
			}

6. 在 “编辑策略内容” 中，将 qcs::tke:sh::cluster/cls-XXXXXXX 修改为您想赋予权限的指定地域下的集群。例如，您需要为广州地域的 cls-69z7ek9l 集群赋予全读写的权限，将 qcs::tke:sh::cluster/cls-XXXXXXX 修改为 "qcs::tke:gz::cluster/cls-69z7ek9l"。

注意

请替换成您想赋予权限的指定地域下的集群 ID。如果您需要允许子账号进行集群的扩缩容，还需要配置子账号用户支付权限。

7. 单击创建策略，即可完成对单个集群全读写权限的配置。

配置对单个集群只读权限

1. 登录 CAM 控制台。

2. 在左侧导航栏中，单击策略，进入策略管理页面。

3. 单击新建自定义策略，选择 “按策略语法创建” 方式。

4. 选择 “空白模板” 类型，单击下一步。

5. 自定义策略名称，将 “编辑策略内容” 替换为以下内容。

				
			{
		
			 "version": "2.0",
		
			 "statement": [
		
			 {
		
			 "action": [
		
			 "tke:Describe*",
		
			 "tke:Check*"
		
			 ],
		
			 "resource": "qcs::tke:gz::cluster/cls-1xxxxxx",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "cvm:Describe*",
		
			 "cvm:Inquiry*"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "vpc:Describe*",
		
			 "vpc:Inquiry*",
		
			 "vpc:Get*"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "action": [
		
			 "clb:Describe*"
		
			 ],
		
			 "resource": "*",
		
			 "effect": "allow"
		
			 },
		
			 {
		
			 "effect": "allow",
		
			 "action": [
		
			 "monitor:*",
		
			 "cam:ListUsersForGroup",
		
			 "cam:ListGroups",
		
			 "cam:GetGroup",
		
			 "cam:GetRole"
		
			 ],
		
			 "resource": "*"
		
			 }
		
			 ]
		
			}

6. 在 “编辑策略内容” 中，将 qcs::tke:gz::cluster/cls-1xxxxxx 修改为您想赋予权限的指定地域下的集群。例如，您需要为北京地域的 cls-19a7dz9c 集群赋予只读的权限，将 qcs::tke:gz::cluster/cls-1xxxxxx 修改为 qcs::tke:bj::cluster/cls-19a7dz9c。

7. 单击创建策略，即可完成对单个集群只读权限的配置。

相似文档

腾讯云容器服务 TKE 标准集群 - 配置子账号对 TKE 服务全读写或只读权限
操作场景：您可以通过使用访问管理（Cloud Access Management，CAM）策略让用户拥有在容器服务（Tencent Kubernetes Engine，TKE）控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置部分权限的策略。
腾讯云容器服务 TKE 标准集群 - TKE Kubernetes 对象级权限控制概述
TKE 提供了对接 Kubernetes RBAC 的授权模式，便于对子账号进行细粒度的访问权限控制。该授权模式下，可通过容器服务控制台及 kubectl 两种方式进行集群内资源访问。如下图所示：
腾讯云容器服务 TKE 标准集群 - 授权模式对比
腾讯云容器服务 TKE 目前存在新旧两种授权模式，旧的授权模式无法进行 Kubernetes 级别的授权管理，建议您升级集群管理的授权模式，以便能够对集群内 Kubernetes 资源进行细粒度的权限控制。
腾讯云容器服务 TKE 标准集群 - 使用预设身份授权
预设角色说明：腾讯云容器服务控制台通过 Kubernetes 原生的 RBAC 授权策略，针对子账号提供了细粒度的 Kubernetes 资源权限控制。同时提供了预设角色： Role 及 ClusterRole，详细说明如下：
腾讯云容器服务 TKE 标准集群 - 自定义策略授权
本文介绍如何通过自行编写 Kubernetes 的 ClusterRole 和 Role 以授予子账号特定权限，您可根据业务诉求进行对应操作。策略语法说明：您可自行编写策略语法，或通过访问管理 CAM 策略生成器创建自定义策略。

文档中心

全民上云·上云补贴申领

免费试用（限企业）

操作场景

操作步骤

配置对单个集群全读写权限

配置对单个集群只读权限