本節介紹了子賬號授權的用戶指南，包括授權概述、IAM授權指引、RBAC授權指引。

授權概述

云容器引擎的授權體系包括管控基礎云資源和OpenAPI接口的IAM權限體系以及管控K8s資源的RBAC權限體系，可以根據子賬號需要訪問的資源類型進行授權。

IAM權限控制

IAM權限控制：用戶是否可以操作云資源以及OpenAPI接口的權限，具體場景包括：

控制臺操作：訪問云容器引擎控制臺，通過控制臺菜單和按鈕操作集群。

OpenAPI操作：通過云容器引擎提供的OpenAPI接口（OpenAPI使用可參考 API參考 章節）操作集群。

RBAC權限控制

RBAC權限控制用戶是否可以操作K8s集群中的某類資源（如節點、命名空間、工作負載、服務、路由等），具體場景包括：

通過云容器引擎控制臺操作K8s資源（如新增或刪除一個工作負載、查看節點情況等）。

使用kubeconfig連接到集群，通過kubectl操作K8s資源。

一般來說，通過云容器引擎控制臺或OpenAPI操作集群會同時受到IAM權限及RBAC權限的管控，因此需要為子賬號同時授予IAM權限及RBAC權限；而通過kubeconfig方式操作集群只會受到RBAC權限的管控，因此只需為子賬號授予RBAC權限；需要注意的是，有部分控制臺操作不會涉及到集群資源的操作（如查看監控、日志等），那么就只需為子賬號授予IAM權限。

IAM授權指引

操作步驟：為單個子賬號授權或調整子賬號權限。

1、使用云服務賬號登錄管理控制臺。

2、在頂部導航欄選擇 服務列表>管理與部署>統一身份認證服務，進入統一身份認證服務管理控制臺。

3、點擊 用戶 > 查看 > 權限管理 > 新增權限 為用戶授予IAM權限。

4、云容器引擎預定義了系統策略，直接選擇并點擊下一步及確定。

操作步驟：為多個子賬號授權或調整子賬號權限。

1、使用云服務賬號登錄管理控制臺。

2、在頂部導航欄選擇服務列表>管理與部署>統一身份認證服務，進入統一身份認證服務管理控制臺。

3、點擊 用戶組 > 創建用戶組 創建用戶組。

4、點擊 用戶組管理 將需要授權的子用戶加到用戶組。

5、點擊 授權 為用戶組授予IAM權限。

6、容器引擎預定義了系統策略，直接選擇并點擊下一步及確定。

RBAC授權指引

前提條件：已創建容器集群，具體操作請參見 用戶指南 > 集群管理 > 新建集群 章節。若已有容器集群，無需重復操作。

操作步驟：為子賬號授權或調整子賬號權限。

注意
請提前創建好子用戶，并需子用戶登陸天翼云后才可以同步到云容器引擎控制臺。

1、登陸云容器引擎控制臺， 點擊左側導航欄中的集群，進入集群列表頁。

2、在集群列表中點擊需要授權的集群，進入集群管理頁面。

3、在集群管理頁面導航欄中選擇安全管理 > 授權，進入角色授權頁面。

4、點擊管理權限操作單個子賬號權限，或選擇多個子賬號后點擊添加權限為多個子賬號批量授權，點擊后進入集群RBAC配置頁面。

5、在集群RBAC配置頁面中，可以對子賬號已有的用戶權限進行調整或為子賬號新增權限，權限可以限定單個命名空間或不限制命名空間（集群權限），子賬號可設置的權限有內置權限（管理員、運維人員、開發人員、受限人員）和自定義權限，選擇自定義權限可選擇集群中創建的任意Cluster Role進行授權。

6、點擊下?步完成授權。