全部产品
Search
文档中心

容器服务 Kubernetes 版 ACK:自定义Kubernetes授权策略

更新时间:Nov 06, 2023

角色访问控制RBAC(Role-Based Access Control)的Kubernetes对象Role和ClusterRole中包含一组代表相关权限的规则。Role总是用来在某个命名空间内设置访问权限,而ClusterRole是为集群范围的资源定义访问权限。本文介绍如何自行编写Kubernetes的ClusterRole和Role。

权限策略说明

您可自行编写权限策略,或通过容器服务管理控制台创建自定义策略。

Role:命名空间维度

如果您需要在命名空间内定义角色,则应该使用Role。

下方是一个位于default命名空间的Role的YAML示例,用来授予对Pods的所有权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test-role
  namespace: default
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch

ClusterRole:集群维度

如果您需要定义集群范围的角色,则应该使用ClusterRole。

下方是一个ClusterRole的示例,用来为任一特定命名空间中的Pods授予所有权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: test-clusterrole
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch

关于Role和ClusterRole的更多信息,请参见Role和ClusterRole

创建Kubernetes自定义授权策略

说明

该步骤以为RAM用户或RAM角色创建自定义ClusterRole为例,与创建Role的步骤基本一致,您可结合实际需求进行操作。

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择安全管理 > 角色

  3. 角色页面,单击Cluster Role页签。

  4. Cluster Role页签,单击创建

  5. 创建YAML面板输入自定义策略的YAML内容,单击确定即可创建ClusterRole。

    此步骤以权限策略说明ClusterRole:集群维度的YAML为例,创建完成后,可在Cluster Role页签查看自定义权限test-clusterrole

后续步骤

关于如何授予RAM用户或RAM角色自定义Kubernetes授权策略,请参见配置RAM用户或RAM角色RBAC权限

重要

当前容器服务 Kubernetes 版授权管理仅支持自定义ClusterRole角色与集群内RBAC权限的绑定,不支持自定义Role角色与集群内RBAC权限的绑定。