简介
组件介绍
UserGroupAccessControl 用户组访问控制组件,支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组,便于对子账号进行细粒度的访问权限控制。
部署在集群内的 Kubernetes 对象
|
user-group-access-control | ServiceAccount | - | kube-system |
user-group-access-control | ClusterRole | - | kube-system |
user-group-access-control | ClusterRoleBinding | - | kube-system |
user-group-access-control | Service | - | kube-system |
user-group-access-control | ConfigMap | - | kube-system |
user-group-access-control | Deployment | 0.5C1G(针对新建) | kube-system |
使用场景
CAM 用户组是多个相同职能的用户(子账号)的集合,可以实现批量的授权、设置订阅消息等功能,本组件适用于需要在 TKE 标准集群中为职能相同的子账号快速设置相同的 Kubernetes 对象访问权限场景。
限制条件
K8S 集群版本 >= 1.16
操作步骤
说明:
如果您需要使用 UserGroupAccessControl 组件,请通过 提交工单 申请开通。 步骤1:新建用户组
您需要在访问管理 CAM 服务中完成用户组创建,操作详情请参见 新建用户组。若您已有用户组,可跳过此步骤。 步骤2:安装组件
2. 在集群管理页面,单击目标集群 ID,进入集群详情页。
3. 选择左侧导航中的组件管理,在组件管理页面中单击新建。
4. 在新建组件页面,选择认证授权模块,勾选 UserGroupAccessControl 组件。
5. 单击服务授权。为让容器服务可以读取到您账号下的用户组信息,需要您在组件安装时完成角色 “TKE_QCSRole” 关联预设策略 “QcloudAccessForTKERoleInGroupsForUser” 的引导授权。
在服务授权页面中,确认角色名称和授权策略,单击同意授权。
6. 返回新建组件页面,单击完成。组件创建完成后,您可以在组件管理页面查看组件详情。
步骤3:为用户组创建角色并绑定策略
1. 选择左侧导航栏中的授权管理 > ClusterRole,在 ClusterRole 页面单击 RBAC 策略生成器。
2. 在新建 ClusterRole 中,账号类型选择用户组,并勾选用户组。
3. 单击下一步。在集群 RBAC 设置中,为指定用户组设置 Kubernetes 对象资源权限。
4. 单击完成。
步骤4:查看角色绑定策略
选择左侧导航栏中的授权管理 > ClusterRoleBinding,在 ClusterRoleBinding 中查看以用户组 ID 命名开头的权限策略信息。
说明:
若您需要变更腾讯云资源的操作权限,如组内子账号迁移、增加/删除云产品的操作权限,您仅需在 CAM 侧的用户组进行修改,权限变更的结果会在您创建的角色绑定策略中即时生效。操作详情请参见 为用户组添加/移除用户。
本页内容是否解决了您的问题?