开发者学堂课程【5分钟玩转阿里云容器服务:容器安全-如何为不同角色的成员授权】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1038/detail/15867
容器安全-如何为不同角色的成员授权
内容介绍
一、容器安全-如何为不同角色的成员授权
一、容器安全-如何为不同角色的成员授权
ACK 的授权体系包含对技术资源层 IAM 授权以及对 ACK 集进程的 RBAC 授权。
因此如果要给予子账号授予 ACK 权限的话,需要同时为它授予对应的 IAM 权限以及相对应的 RBAC 权限。
演示如何为客户授予 ACK 权限,以及如何配置一个子账号,让他成为 ACK 的权限管理员,让他可以为其他用户授予 ACK 权限。
首先我们看一下怎么为子账号授予 ACK 权限。我们将要操作的子账号名是名为 ACK admin 的账号,并且我们想给它授予 demo 1 这个集群的管理员权限。我们先看一下他当前的权限,当前他没有 ACK 任何执行的权限。
如果如前面所说, ACK 授权既包含了 IM 授权,也包含了 RBAC 授权。我们先来做 IAM 授权,我们先创建一个拥有 demo 1 这个集群的管理员权限的 IAM 策略,然后我们再把这个策略授予我们要操作的 IM 用户。配置好 IAM 权限之后,我们还需要在 ACK 授权管理页面为 ACK admin 账号配置相应的目标集群管理员权限。
完成了 IM 权限和 RBAC 权限的授予之后,我们的 ACK admin 账号就拥有了 demo 1 集群的管理员权限。我们可以看到 ACK admin 这个账号可以对这个集群做任意的操作。完成单个账号授权管理之后,我们如何让一个账号称为权限管理员才可以管理所有的,同时也可以给任意子账号或角色授予相应的 ACK 权限。
首先我们给它授予 ACK 在 IAM 侧的管理员权限,对应权限的策略叫阿里云 CS for access 权限管理员,也就是说可以在 IAM 侧有 IAM 的管理员权限,所以还需要一个阿里云 IAM for access 的权限。
这样操作以后,ACK admin 这个账号在 IAM 侧它就拥有了容器符 ACK 的管理员权限以及 IM 用户的管理员权限。同时我们还需要授予它所有集群的 RBAC 管理员群。首先它拥有了所有集聚型的管理员权限。然后我们再来看一下它的给其他用户授予的权限。
假如我们要给这个用户授予 demo 1 这个集群的管理员权限。同样的我们还是需要给这个用户授予相应的 IAM 权限。完成 IM 权限的配置之后,我们就可以继续提交了。
可以看到 ACK admin 这个账号去的成为了权限管理员可以给任意子账号做注册授权。
这里再演示一下给角色授权操作跟给子账号授权是类似的。
