tencent cloud

文档反馈

使用预设身份授权

最后更新时间:2023-05-24 15:00:51

    预设角色说明

    腾讯云容器服务控制台通过 Kubernetes 原生的 RBAC 授权策略,针对子账号提供了细粒度的 Kubernetes 资源权限控制。同时提供了预设角色: Role 及 ClusterRole,详细说明如下:

    Role 说明

    容器服务控制台提供授权管理页,默认主账号集群创建者具备管理员权限。可对其他拥有该集群 DescribeCluster Action 权限的子账号进行权限管理。如下图所示:

    ClusterRole 说明

    • 所有命名空间维度
    • 管理员(tke:admin):对所有命名空间下资源的读写权限,具备集群节点、存储卷、命名空间、配额的读写权限,可配置子账号的读写权限。
    • 运维人员(tke:ops):对所有命名空间下控制台可见资源的读写权限,具备集群节点、存储卷、命名空间、配额的读写权限。
    • 开发人员(tke:dev):对所有命名空间下控制台可见资源的读写权限。
    • 受限人员(tke:ro):对所有命名空间下控制台可见资源的只读权限。
    • 自定义:用户自定义 ClusterRole。
    • 指定命名空间维度
      • 开发人员(tke:ns:dev): 对所选命名空间下控制台可见资源的读写权限, 需要选择指定命名空间。
      • 只读用户(tke:ns:ro):对所选命名空间下控制台可见资源的只读权限, 需要选择指定命名空间。
    • 所有预设的 ClusterRole 都将带有固定 label:cloud.tencent.com/tke-rbac-generated: "true"
    • 所有预设的 ClusterRoleBinding 都带有固定的 annotations:cloud.tencent.com/tke-account-nickname: yournickname 及 label:cloud.tencent.com/tke-account: "yourUIN"

    操作步骤

    获取凭证

    容器服务默认会为每个子账号创建独立的凭证,用户只需访问集群详情页或调用云 API 接口 DescribeClusterKubeconfig,即可获取当前使用账号的凭证信息 Kubeconfig 文件。通过控制台获取步骤如下:

    1. 登录容器服务控制台,选择左侧导航栏中的 集群
    2. 在“集群管理”页面中,选择目标集群 ID。
    3. 在集群详情页面中,选择左侧的基本信息即可在“集群APIServer信息”模块中查看并下载 Kubeconfig 文件。如下图所示:

    凭证管理

    集群管理员可以访问凭证管理页,进行查看并更新所有账号下集群的凭证。详情请参见 更新子账号的 TKE 集群访问凭证

    授权

    说明:

    请联系集群管理员(主账号、集群创建者或拥有 admin role 的用户)进行授权。

    1. 在“集群管理”页面中,选择目标集群 ID。
    2. 在集群详情页面中,选择左侧授权管理>ClusterRoleBinding
    3. 在 “ClusterRoleBinding” 管理页面中,单击RBAC策略生成器。如下图所示:
    4. 在“管理权限”页面的“选择子账号”步骤中,勾选需授权的子账号并单击下一步
    5. 在“集群RBAC设置”步骤中,按照以下指引进项权限设置:
    • Namespace列表:按需指定权限生效的 Namespace 范围。
    • 权限:请参考界面中的“权限说明”,按需设置权限。
      说明:

      您还可以单击添加权限,继续进行权限自定义设置。

    鉴权

    登录子账号,确认该账号已获得所授权限,则表示授权成功。

    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持