tencent cloud

文档反馈

UserGroupAccessControl 说明

最后更新时间:2023-08-01 17:07:02

    简介

    组件介绍

    UserGroupAccessControl 用户组访问控制组件,支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组,便于对子账号进行细粒度的访问权限控制。

    部署在集群内的 Kubernetes 对象

    kubernetes 对象名称
    类型
    资源量
    Namespaces
    user-group-access-control
    ServiceAccount
    -
    kube-system
    user-group-access-control
    ClusterRole
    -
    kube-system
    user-group-access-control
    ClusterRoleBinding
    -
    kube-system
    user-group-access-control
    Service
    -
    kube-system
    user-group-access-control
    ConfigMap
    -
    kube-system
    user-group-access-control
    Deployment
    0.5C1G(针对新建)
    kube-system

    使用场景

    CAM 用户组是多个相同职能的用户(子账号)的集合,可以实现批量的授权、设置订阅消息等功能,本组件适用于需要在 TKE 标准集群中为职能相同的子账号快速设置相同的 Kubernetes 对象访问权限场景。

    限制条件

    K8S 集群版本 >= 1.16

    操作步骤

    说明:
    如果您需要使用 UserGroupAccessControl 组件,请通过 提交工单 申请开通。

    步骤1:新建用户组

    您需要在访问管理 CAM 服务中完成用户组创建,操作详情请参见 新建用户组。若您已有用户组,可跳过此步骤。

    步骤2:安装组件

    1. 登录 容器服务控制台,选择左侧导航栏中的集群
    2. 集群管理页面,单击目标集群 ID,进入集群详情页。
    3. 选择左侧导航中的组件管理,在组件管理页面中单击新建。
    4. 新建组件页面,选择认证授权模块,勾选 UserGroupAccessControl 组件
    5. 单击服务授权。为让容器服务可以读取到您账号下的用户组信息,需要您在组件安装时完成角色 “TKE_QCSRole” 关联预设策略 “QcloudAccessForTKERoleInGroupsForUser” 的引导授权。
    服务授权页面中,确认角色名称和授权策略,单击同意授权
    6. 返回新建组件页面,单击完成。组件创建完成后,您可以在组件管理页面查看组件详情。

    步骤3:为用户组创建角色并绑定策略

    1. 选择左侧导航栏中的授权管理 > ClusterRole,在 ClusterRole 页面单击 RBAC 策略生成器
    2. 新建 ClusterRole 中,账号类型选择用户组,并勾选用户组。
    3. 单击下一步。在集群 RBAC 设置中,为指定用户组设置 Kubernetes 对象资源权限。
    4. 单击完成

    步骤4:查看角色绑定策略

    选择左侧导航栏中的授权管理 > ClusterRoleBinding,在 ClusterRoleBinding 中查看以用户组 ID 命名开头的权限策略信息。
    说明:
    若您需要变更腾讯云资源的操作权限,如组内子账号迁移、增加/删除云产品的操作权限,您仅需在 CAM 侧的用户组进行修改,权限变更的结果会在您创建的角色绑定策略中即时生效。操作详情请参见 为用户组添加/移除用户
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持