CCE 权限概述
注册百度智能云账号后,系统自动创建的超级管理员用户即为账号的主用户,默认拥有云账户的所有权限和管理所有云资源的权限。在多个人员共享资源和协作管理的场景下,为了保证账户和资源的安全,主用户可以创建子用户,实现不同子用户使用不同的用户名密码,以及拥有不同的云资源访问权限。【详细说明可见:百度智能云账户身份体系】
默认情况下,子用户没有使用 CCE 的任何权限,因此,需要主用户授权允许子用户拥用相应的权限。
温馨提示:如果您不需要对子用户进行权限管理,可以跳过此章节,不影响您通过账号主用户的身份去使用 CCE 服务的其它功能。
CCE 权限管理,包括百度智能云多用户访问控制(IAM)策略授权和 Kubernetes 角色访问控制(RBAC)授权,支持从集群和命名空间级别对子用户/用户组进行细粒度的授权。CCE 的授权可分为两个使用阶段:
- 第一阶段是基于 IAM 策略的授权,主用户对 IAM 子用户/用户组授予 CCE 集群级别(集群、节点、节点组等资源)的只读/管理权限(比如创建/删除集群、添加/移出节点、创建/删除节点组等),授权将作用于 CCE 整个产品。【详细说明可见:CCE IAM 策略授权】
- 第二阶段是基于 Kubernetes RBAC 的授权,主用户对 IAM 子用户授予 CCE 集群命名空间级别(Kubernetes 资源)的只读/运维开发/管理权限(比如创建/删除工作负载、Service、Ingress 等),授权作用于 CCE 某个集群或集群下某个命名空间。【详细说明可见:CCE RBAC 授权】
