腾讯云容器服务 TKE 标准集群组件管理 - UserGroupAccessControl 说明
文档简介:
组件介绍:
UserGroupAccessControl 用户组访问控制组件,支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组,便于对子账号进行细粒度的访问权限控制。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
简介
组件介绍
UserGroupAccessControl 用户组访问控制组件,支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组,便于对子账号进行细粒度的访问权限控制。
部署在集群内的 Kubernetes 对象
|
kubernetes 对象名称
|
类型
|
资源量
|
Namespaces
|
|
user-group-access-control
|
ServiceAccount
|
-
|
kube-system
|
|
user-group-access-control
|
ClusterRole
|
-
|
kube-system
|
|
user-group-access-control
|
ClusterRoleBinding
|
-
|
kube-system
|
|
user-group-access-control
|
Service
|
-
|
kube-system
|
|
user-group-access-control
|
ConfigMap
|
-
|
kube-system
|
|
user-group-access-control
|
Deployment
|
0.5C1G(针对新建)
|
kube-system
|
使用场景
CAM 用户组是多个相同职能的用户(子账号)的集合,可以实现批量的授权、设置订阅消息等功能,本组件适用于需要在 TKE 标准集群中为职能相同的子账号快速设置相同的 Kubernetes 对象访问权限场景。
限制条件
该功能仅支持 TKE 托管集群。
K8S 集群版本 ≥ 1.16。
操作步骤
说明:
如果您需要使用 UserGroupAccessControl 组件,请通过 提交工单 申请开通。
步骤1:新建用户组
您需要在访问管理 CAM 服务中完成用户组创建,操作详情请参见 新建用户组。若您已有用户组,可跳过此步骤。
步骤2:安装组件
1. 登录 容器服务控制台,选择左侧导航栏中的集群。
2. 在集群管理页面,单击目标集群 ID,进入集群详情页。
3. 选择左侧导航中的组件管理,在组件管理页面中单击新建。
4. 在新建组件页面,选择认证授权模块,勾选 UserGroupAccessControl 组件。如下图所示:
5. 单击服务授权。为让容器服务可以读取到您账号下的用户组信息,需要您在组件安装时完成角色 “TKE_QCSRole” 关联预设策略 “QcloudAccessForTKERoleInGroupsForUser” 的引导授权。如下图所示:
在服务授权页面中,确认角色名称和授权策略,单击同意授权。
6. 返回新建组件页面,单击完成。组件创建完成后,您可以在组件管理页面查看组件详情。
步骤3:为用户组创建角色并绑定策略
1. 选择左侧导航栏中的授权管理 > ClusterRole,在 ClusterRole 页面单击 RBAC 策略生成器。
2. 在新建 ClusterRole 中,账号类型选择用户组,并勾选用户组。如下图所示:
3. 单击下一步。在集群 RBAC 设置中,为指定用户组设置 Kubernetes 对象资源权限。
4. 单击完成。
步骤4:查看角色绑定策略
选择左侧导航栏中的授权管理 > ClusterRoleBinding,在 ClusterRoleBinding 中查看以用户组 ID 命名开头的权限策略信息。如下图所示:
说明:
若您需要变更腾讯云资源的操作权限,如组内子账号迁移、增加/删除云产品的操作权限,您仅需在 CAM 侧的用户组进行修改,权限变更的结果会在您创建的角色绑定策略中即时生效。操作详情请参见 为用户组添加/移除用户。
