导航
容器服务
搜索目录或文档标题搜索目录或文档标题
产品动态
历史功能发布记录
产品公告
安全公告
Kubernetes 版本发布记录
组件发布记录
监控组件
DNS 组件
GPU 组件
用户指南
网络
服务(Service)
路由(Ingress)
ALB Ingress
CLB Ingress
Nginx Ingress
APIG Ingress
域名解析(DNS)
工作负载
存储管理
TOS 对象存储卷
NAS 文件存储卷
CloudFS 大数据文件存储卷
弹性伸缩
GPU
可观测性
AIOps 套件
注册集群
弹性容器实例
最新动态
对接 VCI
创建实例
最佳实践
网络
云原生 AI
API 参考
集群管理
弹性容器实例
常见问题
通用 FAQ
集群 FAQ
节点与节点池 FAQ
工作负载 FAQ
服务与路由 FAQ
存储 FAQ
弹性伸缩 FAQ
可观测性 FAQ
授权 FAQ
配额 FAQ
组件 FAQ
容器镜像 FAQ
VCI FAQ
- 文档首页 /容器服务/常见问题/授权 FAQ/如何为 IAM 用户授权 Cluster 级别资源的权限?
如何为 IAM 用户授权 Cluster 级别资源的权限?
最近更新时间:2023.02.13 10:22:56首次发布时间:2023.02.13 10:22:56
文档反馈
本文描述如何为 IAM 用户授权集群(Cluster)级别别资源的访问权限。
说明
更多授权相关操作,请参见 配置 RBAC 权限。
操作说明
容器服务支持通过自定义 Kubernetes 授权策略中的 Role 和 ClusterRole 对象,控制集群资源的访问权限。Role 和 ClusterRole 相关的更多信息,请参见 Role和ClusterRole。
操作步骤
- 创建 ClusterRole,定义 Cluster 级别角色。
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: demo-role # ClusterRole 对象名称。 rules: - apiGroups: - "" resources: - nodes # 节点资源的 get/list 权限。 - persistentvolumes # 存储卷资源的 get/list 权限。 - limitranges # 限制范围资源的 get/list 权限。 - resourcequotas # 资源配额的 get/list 权限。 verbs: - get - list - apiGroups: - storage.k8s.io resources: - storageclasses # 存储类资源的 get/list 权限。 verbs: - get - list - 创建 ClusterRoleBinding,将 ClusterRole 中定义的权限赋予一个或者一组 IAM 用户。
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: labels: rbac.vke.volcengine.com/user: "100****" # 被授权 IAM 用户的账号 ID。 name: demo-rolebending # ClusterRoleBinding 对象名称。 roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: demo-role # ClusterRole 对象名称。 subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: "xxxx" # 被授权 IAM 用户的账号 ID。 - 使用授权的 IAM 用户连接集群,如果能正常查询 Cluster 级别资源(如 PV),则说明权限配置正常。连接集群操作,请参见 连接集群。
