Landing Zone的身份权限是怎样设计的？

在Landing Zone的身份权限设计中，一般会定义多个RAM Role来描述云上的权限，比如Admin、ReadOnly、 CloudContributor等等，这些Role与SSO集成，当工作人员完成认证后，他会获得相应的Role来操作云上的资源，而现在，这个资 源扩大为ACK集群中的namespace、service、deployment与pod。定义ClusterRole可以设置集群内的权限，同时，Landing中 我们也会设计RAM Role与ClusterRole的对应关系，例如ClusterManagement这个RAM Role可以操作集群相关的ECS、SLB等资 源，这样他可以完成扩容操作，同时他也可以访问OpenAPI中的storageclasses，worker node，networking这些与应用不强相 关的资源，就可以避免这个角色访问到service、deployment、pod等。以上信息摘自《新服务》，这本电子书收录开发者藏经阁下载地址：https://developer.aliyun.com/topic/download?id=8306