概述

為方便企業中的管理人員對集群中的資源權限進行管理，分布式容器云平臺提供了多種維度的細粒度權限策略和管理方式。分布式容器云平臺的權限管理包括「統一身份認證服務（IAM）授權」和「Kubernetes RBAC授權」兩種能力。IAM授權與Kubernetes RBAC授權，兩者是完全獨立的，互不影響，但要配合使用。具體解釋如下：

• 統一身份認證服務（IAM）授權：是基于IAM策略的授權，可以讓用戶擁有集群管理、聯邦管理、艦隊管理等操作權限。

• Kubernetes RBAC授權：集群中Kubernetes資源權限是基于Kubernetes RBAC能力的授權，通過權限設置可以讓不同的用戶或用戶組擁有操作不同Kubernetes資源的權限。

假設A公司在分布式容器云平臺管理多集群，公司中有多個職能團隊，分別負責權限分配、資源管理、創建應用、流量分發、監控運維等。結合使用統一身份認證服務（IAM）與Kubernetes RBAC授權的權限管理，可以實現精細化授權的目標。

權限設計

下面我們以一個公司為例進行介紹。通常一個公司中有多個部門或項目，每個部門又有多個成員，所以在配置權限前需要先進行詳細設計，并在設置權限之前提前為每個成員創建用戶名，便于后續對用戶進行用戶組歸屬和權限設置。

下圖為某公司某部門的結構示意圖，我們將按照該設計對每個角色的權限設置進行演示。

IAM授權

租戶管理員擁有所有產品權限，負責給各個職能團隊進行IAM授權，根據本例子的權限設計，首先創建四個用戶組，分別是系統管理人員、運維人員、開發人員、訪客人員，方便對員工分組管理。

創建用戶組

打開IAM控制臺頁面，在左邊側邊欄選擇用戶組，跳轉到用戶組頁面，點擊創建「創建用戶組」按鈕進行創建。

例如，為系統管理團隊創建「系統管理人員」用戶組

訪問IAM用戶管理頁面，點擊頁面上的授權按鈕進行操作，賦予用戶組權限。

本例子將賦予「系統管理人員」用戶組 ccseone-admin 權限。

行管人員：搭建基礎設施、配置權限策略

1. 創建注冊集群、艦隊和聯邦

在上述步驟中，租戶管理員向行政管理人員分配「ccseone-admin」權限。此權限允許行政管理人員創建注冊集群、艦隊和聯邦等資源，從而利用分布式容器云平臺搭建其基礎設施。若需批量管理注冊集群的權限，可將目標注冊集群加入艦隊，然后為相應的艦隊成員用戶賦予權限，實現統一管控。

2. Kubernetes RBAC授權

除了IAM授權，用戶需要訪問Kubernetes 資源還需要進行Kubernetes RBAC授權。

配置Kubernetes RBAC權限策略

分布式容器云平臺提供四種預置權限（管理員、運維人員、開發人員和受限人員），同時支持用戶靈活創建自定義權限。創建自定義權限，可訪問分布式容器云平臺「平臺服務」-> 「權限管理」頁面，進行Kubernetes RBAC權限策略管理。

關聯權限

Kubernetes RBAC 權限策略需完成「關聯權限」操作后生效，該操作可在注冊集群、艦隊或聯邦的對應列表頁面進行。

為開發用戶關聯開發人員權限

開發團隊：創建工作負載

系統管理人員完成基礎設施搭建及權限配置后，開發人員即可使用這些基礎設施資源，通過集群控制臺創建和管理工作負載，展開開發工作。

訪客：查看資源

訪客（僅具有查看資源權限的人員）可執行集群、容器艦隊、工作負載等資源的查看操作。