本文旨在協助您瞭解如何通過Container Service控制台配置子帳號對應的Kubernetes RAM叢集許可權和在叢集內相應的Kubernetes RBAC應用許可權。

配置說明

  • 子帳號授權頁面僅主帳號可見。您需要擁有一個阿里雲主帳號,並有一個或若干個子帳號。
  • 由於阿里雲RAM的安全限制,當您通過Container Service控制台的授權配置涉及到子帳號RAM授權的修改時,需要您按照頁面上給出的參考策略內容和操作說明,在RAM控制台進行目標子帳號的手動授權。

操作步驟

说明 因為子帳號授權頁面僅主帳號可見,您需要用主帳號登入Container Service控制台。
  1. 登入Container Service管理主控台
  2. 在Kubernetes菜單下,單擊左側導覽列中的叢集 > 子帳號授權,進入子帳號授權頁面。
  3. 在子帳號列表中選擇需要授權的子帳號,單擊授權


  4. 進入授權資源頁面,您可以通過單擊表格左上方的加號添加叢集或命名空間層級的許可權配置,並選擇相應的預置角色;也可以單擊配置行首的減號刪除目標角色。


    叢集和命名空間的預置角色定義可查看下面的角色許可權說明:

    表 1. 角色許可權說明
    叢集系統管理權限 應用系統管理權限
    管理員 叢集讀寫權限,可刪除、伸縮叢集,添加節點 對所有命名空間下資源的讀寫權限,對叢集節點,儲存卷,命名空間,配額的讀寫權限
    營運人員 叢集讀寫權限,可刪除、伸縮叢集,添加節點 對所有命名空間下資源的讀寫權限,對叢集節點,儲存卷,命名空間,配額的唯讀許可權
    開發人員 叢集唯讀許可權 對所有命名空間或所選命名空間下資源的讀寫權限
    受限人員 叢集唯讀許可權 對所有命名空間或所選命名空間下資源的唯讀許可權
  5. 完成配置後,如果涉及目標子帳號RAM叢集許可權的變更,在更新授權策略頁面會展示配置項對應的Kubernetes叢集RAM許可權參考配置,您可以根據頁面中的指導在RAM控制台完成子帳號授權的更新。

補充說明

為了不影響子帳號對當前存量可訪問kubernetes叢集的正常使用,Container Service控制台會暫時相容舊的叢集存取權限控制,在一段時間對原有子帳號可訪問kubernetes叢集不進行RBAC的應用許可權校正,如果您是子帳號使用者,請您根據叢集類型和相容方式,及時聯絡主帳號進行授權操作。

對於由當前子帳號自身建立的存量叢集,可以通過在叢集詳情頁面單擊升級當前叢集授權資訊,完成叢集應用許可權的自動升級。

在公告期結束後,仍舊沒有由主帳號授權或進行許可權管理升級的子帳號,子帳號將被禁止訪問叢集對應的應用控制台。

表 2. 相容叢集說明
相容叢集類型 相容方式
存量子帳號建立叢集 提示許可權管理升級公告,提供一鍵升級連結,子帳號可通過點擊升級連結完成應用授權
存量RAM授權訪問叢集 提示許可權管理升級公告,請及時聯絡主帳號完成應用授權
建立RAM授權訪問叢集 提示許可權管理升級公告,請及時聯絡主帳號完成應用授權