Cara memberikan izin RBAC kepada pengguna RAM atau peran RAM - Container Service for Kubernetes

Kebijakan izin sistem Manajemen Akses Sumber Daya (RAM) mengontrol akses hanya pada sumber daya Distributed Cloud Container Platform for Kubernetes (ACK One), seperti membuat atau melihat instance. Jika pengguna RAM atau peran RAM perlu mengelola sumber daya Kubernetes di instance ACK One Fleet tertentu, seperti membuat aplikasi GitOps atau alur kerja Argo, Anda harus memberikan izin Kontrol Akses Berbasis Peran (RBAC) pada instance ACK One Fleet dan namespace terkait. Topik ini menjelaskan cara memberikan izin RBAC kepada pengguna RAM atau peran RAM.

Catatan penggunaan

Untuk memberikan izin kepada pengguna RAM atau peran RAM, Anda harus menggunakan akun Alibaba Cloud, akun pembuat instance Fleet, atau pengguna RAM dengan izin administrator pada instance Fleet. Anda tidak dapat memberikan izin menggunakan pengguna RAM lainnya.

Prasyarat

Pengguna RAM atau peran RAM telah diberi izin pada instance ACK One Fleet. Untuk informasi lebih lanjut, lihat Lampirkan kebijakan izin sistem ke pengguna RAM atau peran RAM.
Alibaba Cloud CLI versi 3.0.159 atau lebih baru telah diinstal dan kredensial telah dikonfigurasi jika Anda ingin menggunakan CLI untuk memberikan izin. Untuk informasi lebih lanjut, lihat Instal Alibaba Cloud CLI dan Konfigurasikan Kredensial.

Izin RBAC yang didukung oleh ACK One

Izin RBAC pada instance Fleet

Peran RBAC	Izin
admin (administrator)	Memberikan izin baca dan tulis pada sumber daya di seluruh kluster dan sumber daya di semua namespace.
dev (developer)	Memberikan izin baca dan tulis pada sumber daya di namespace tertentu.
gitops-dev (Pengembang GitOps)	Memberikan izin baca dan tulis pada sumber daya aplikasi di namespace argocd.

Lihat Sumber Daya Kluster dan Namespace

Sumber daya berskala instance Fleet
Jenis
apiVersion
Namespace
v1
Managedcluster
cluster.open-cluster-management.io
MseIngressConfig
mse.alibabacloud.com/v1alpha1
IngressClass
networking.k8s.io/v1

Sumber daya berskala namespace

Jenis	apiVersion
Deployment	apps/v1
Service	v1
Ingress	networking.k8s.io/v1
ConfigMap	v1
Secret	v1
StatefulSet	apps/v1
PersistentVolumeClaim	v1
ServiceExport	multicluster.x-k8s.io/v1alpha1
ServiceImport	multicluster.x-k8s.io/v1alpha1
HorizontalPodAutoscaler	autoscaling/v1
Application ApplicationSet Appproject	argoproj.io
Workflow	argoproj.io
Application	core.oam.dev

Sumber daya aplikasi di namespace argocd
Jenis
apiVersion
Application
argoproj.io

Izin RBAC pada kluster alur kerja

Peran RBAC	Izin
admin (administrator)	Memberikan izin baca dan tulis pada sumber daya di seluruh kluster dan sumber daya di semua namespace.
dev (developer)	Memberikan izin baca dan tulis pada sumber daya di namespace tertentu.

Lihat Sumber Daya Kluster dan Namespace

Sumber daya berskala instance Fleet
Jenis
apiVersion
Namespace
v1
PersistentVolumes
v1
ImageCaches
eci.alibabacloud.com
Sumber daya berskala namespace
Jenis
apiVersion
ConfigMap
v1
Secret
v1
ServiceAccount
v1
PersistentVolumeClaim
v1
Pod
v1
Workflow
WorkflowTemplate
CronWorkflow
argoproj.io
EventSource
EventBus
Sensor
argoproj.io

Izin RBAC pada kluster terdaftar

Untuk informasi lebih lanjut, lihat Berikan Izin RBAC kepada Pengguna RAM atau Peran RAM.

Berikan izin RBAC kepada pengguna RAM atau peran RAM pada instance Fleet

Gunakan konsol

Masuk ke Konsol ACK One.
Di panel navigasi sebelah kiri, pilih Fleet > Permissions.
Di halaman Permissions, klik tab Fleet lalu klik tab RAM User.
Temukan pengguna RAM yang ingin Anda otorisasi dalam daftar dan klik Manage Permissions di kolom Actions.
Dalam kotak dialog yang muncul, tentukan RAM Role dan Namespaces lalu klik OK.

Gunakan Alibaba Cloud CLI

Berikan izin admin pada instance Fleet

aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName admin

Berikan izin dev pada namespace instance Fleet

aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace default --RoleName dev

Berikan izin gitops-dev pada namespace argocd

aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace argocd --RoleName gitops-dev

Lihat Deskripsi Parameter

Parameter	Tipe	Wajib	Deskripsi
UserId	string	Ya	ID pengguna RAM.
ClusterId	string	Ya	ID instance Fleet yang ingin Anda otorisasi pengguna RAM untuk kelola.
RoleType	string	Ya	Tipe otorisasi. Nilai valid: `cluster`: Izin berlaku untuk instance Fleet. `namespace`: Izin berlaku untuk namespace. Catatan Untuk memberikan izin admin, Anda harus menetapkan parameter RoleType ke `cluster`. Untuk memberikan izin dev atau gitops-dev, Anda harus menetapkan parameter RoleType ke `namespace`.
RoleName	string	Ya	Nama peran yang telah ditentukan sebelumnya. Nilai valid: `admin`: administrator `dev`: developer `gitops-dev`: Pengembang GitOps
Namespace	string	Tidak	Nama namespace. Catatan Anda harus mengonfigurasi parameterini ketika parameter RoleType diatur ke namespace. Anda harus menetapkan parameter ini ke `argocd` ketika parameter RoleType diatur ke namespace dan parameter RoleName diatur ke gitops-dev. Biarkan parameter ini kosong ketika parameter RoleType diatur ke cluster.

Berikan izin RBAC kepada pengguna RAM atau peran RAM pada kluster alur kerja

Gunakan Alibaba Cloud CLI

Berikan izin admin pada kluster alur kerja

aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName admin

Berikan izin dev pada namespace kluster alur kerja

aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace default --RoleName dev

Lihat Deskripsi Parameter

Parameter	Tipe	Wajib	Deskripsi
UserId	string	Ya	ID pengguna RAM.
ClusterId	string	Ya	ID kluster alur kerja yang ingin Anda otorisasi pengguna RAM untuk akses.
RoleType	string	Ya	Tipe otorisasi. Nilai valid: cluster: Izin berlaku untuk kluster. namespace: Izin berlaku untuk namespace. Catatan Ketika Anda menetapkan peran admin, Anda harus mengatur parameter ini ke `cluster`. Ketika Anda menetapkan peran dev, Anda harus mengatur parameter ini ke `namespace`.
RoleName	string	Ya	Nama peran yang telah ditentukan sebelumnya. Nilai valid: admin: administrator dev: developer
Namespace	string	Tidak	Nama namespace. Catatan Anda harus mengonfigurasi parameter ini ketika parameter RoleType diatur ke namespace. Biarkan parameter ini kosong ketika parameter RoleType diatur ke cluster.

Apa yang harus dilakukan selanjutnya

Ubah izin RBAC pengguna RAM

aliyun adcp UpdateUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName dev

Kueri izin RBAC pengguna RAM

aliyun adcp DescribeUserPermissions --UserId 1159648454******

Cabut izin RBAC dari pengguna RAM

aliyun adcp DeleteUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476******

Jenis	apiVersion
Namespace	v1
Managedcluster	cluster.open-cluster-management.io
MseIngressConfig	mse.alibabacloud.com/v1alpha1
IngressClass	networking.k8s.io/v1

Jenis	apiVersion
Namespace	v1
PersistentVolumes	v1
ImageCaches	eci.alibabacloud.com