本文介绍如何为子用户配置RBAC权限,实现对CCE集群命名空间的权限控制。
公告
CCE集群服务已完成RBAC集群权限管理系统升级
- 禁止未完成RBAC权限授予的子用户访问集群资源,请及时联系主账号完成RBAC授权,以免带来生产上的不便
- 子用户将只拥有被指定授予的集群访问权限,原有的默认访问权限将被禁止
授权说明
- 首先需要开通百度智能云主用户账号,以及一个或多个子用户账号
- 只能在主用户(或具有管理员权限的子用户)账号下,给子用户授权
- 子用户在IAM中至少被授予CCE只读权限,才可以进行RBAC授权。
权限说明
CCE内置了三种级别的RBAC权限,如下所示:
| 权限 | 权限说明 |
|---|---|
| 管理员 | 对集群的所有操作权限 |
| 运维开发 | 对命名空间下的资源有读写权限,对节点,namespace,存储卷,存储类有只读权限 |
| 只读 | 对命名空间下的资源有只读权限 |
操作步骤
- 登录百度智能云管理控制台,进入 "产品服务->容器引擎 CCE",在左侧导航栏,点击 "集群管理->权限管理",进入权限管理页面。
- 在子用户列表中选择要授权的子用户,点击RBAC授权,进入RBAC授权页。
- 点击RBAC授权列表左上方添加授权,弹出添加授权配置框,选择需要配置的权限,以及对应的集群和命名空间。
- 如果子用户在IAM中没有被授予CCE任何权限,则授权不成功。
- 添加授权成功后,可以查看授权列表。
验证权限
配置default命名空间的运维开发权限给子用户,验证步骤如下:
- 配置子用户权限
- 子用户登录
- 查看命名空间列表,只能看到default命名空间
- 创建命名空间,提示“您没有当前操作的访问权限,请前往RBAC授权”
