tencent cloud

预设角色说明

腾讯云容器服务控制台通过 Kubernetes 原生的 RBAC 授权策略，针对子账号提供了细粒度的 Kubernetes 资源权限控制。同时提供了预设角色： Role 及 ClusterRole，详细说明如下：

Role 说明

容器服务控制台提供授权管理页，默认主账号及集群创建者具备管理员权限。可对其他拥有该集群 DescribeCluster Action 权限的子账号进行权限管理。如下图所示：

ClusterRole 说明

• 所有命名空间维度：
• 管理员（tke:admin）：对所有命名空间下资源的读写权限，具备集群节点、存储卷、命名空间、配额的读写权限，可配置子账号的读写权限。
• 运维人员（tke:ops）：对所有命名空间下控制台可见资源的读写权限，具备集群节点、存储卷、命名空间、配额的读写权限。
• 开发人员（tke:dev）：对所有命名空间下控制台可见资源的读写权限。
• 受限人员（tke:ro）：对所有命名空间下控制台可见资源的只读权限。
• 自定义：用户自定义 ClusterRole。
• 指定命名空间维度：
  • 开发人员（tke:ns:dev）： 对所选命名空间下控制台可见资源的读写权限， 需要选择指定命名空间。
  • 只读用户（tke:ns:ro）：对所选命名空间下控制台可见资源的只读权限， 需要选择指定命名空间。
• 所有预设的 ClusterRole 都将带有固定 label：cloud.tencent.com/tke-rbac-generated: "true"。
• 所有预设的 ClusterRoleBinding 都带有固定的 annotations：cloud.tencent.com/tke-account-nickname: yournickname 及 label：cloud.tencent.com/tke-account: "yourUIN"。

操作步骤

获取凭证

容器服务默认会为每个子账号创建独立的凭证，用户只需访问集群详情页或调用云 API 接口 DescribeClusterKubeconfig，即可获取当前使用账号的凭证信息 Kubeconfig 文件。通过控制台获取步骤如下：

1. 登录容器服务控制台，选择左侧导航栏中的 集群 。
2. 在“集群管理”页面中，选择目标集群 ID。
3. 在集群详情页面中，选择左侧的基本信息即可在“集群APIServer信息”模块中查看并下载 Kubeconfig 文件。如下图所示：
   

凭证管理

集群管理员可以访问凭证管理页，进行查看并更新所有账号下集群的凭证。详情请参见 更新子账号的 TKE 集群访问凭证。

授权

说明：

请联系集群管理员（主账号、集群创建者或拥有 admin role 的用户）进行授权。

1. 在“集群管理”页面中，选择目标集群 ID。
2. 在集群详情页面中，选择左侧授权管理>ClusterRoleBinding。
3. 在 “ClusterRoleBinding” 管理页面中，单击RBAC策略生成器。如下图所示：
   
4. 在“管理权限”页面的“选择子账号”步骤中，勾选需授权的子账号并单击下一步。
5. 在“集群RBAC设置”步骤中，按照以下指引进项权限设置：

• Namespace列表：按需指定权限生效的 Namespace 范围。
• 权限：请参考界面中的“权限说明”，按需设置权限。

  说明：

  您还可以单击添加权限，继续进行权限自定义设置。

鉴权

登录子账号，确认该账号已获得所授权限，则表示授权成功。