基本概念
微服务引擎的北极星场景下与账号和用户相关的概念如下:
主账号:也可称为主用户,是所有北极星资源的拥有者,对所有北极星资源有操作权限。在创建 TSE 引擎的时候,TSE 默认会创建名称为 polaris 的主账户。
子账号:主账户创建的协作账户。
用户组:北极星的用户组概念,是一组具有相同权限的用户。主账号可以通过创建用户组批量对用户进行授权与管理。用户组只能由主账号创建和授权。
授权:主用户可以管理所有子用户以及用户分组的写权限。子用户可将自己拥有写权限的资源权限分配给其他子用户或者用户组。
token:资源权限将通过 token 进行控制和管理,用户与用户组均可生成。
操作场景
使用 Polarismesh(北极星) 的鉴权功能,您可以清晰地管理资源与用户的访问权限。北极星基于命名空间和服务资源维度实现权限管控。
北极星引入策略的概念,将资源的访问权限与不同的用户角色联系到一起。例如下图,
前提条件
操作步骤
步骤1:开启鉴权模式
1. 登录 TSE 控制台。
2. 在北极星网格下的 polarismesh 页面,单击已有的引擎实例的“ID”,进入基本信息管理页面。
3. 在基本信息页面的鉴权模块,单击服务鉴权的开关按钮,在弹窗中单击确定开启服务鉴权。
4. 开启服务鉴权后,子账号或用户组进行访问控制台、访问北极星资源等操作时,都会需要使用 token 鉴权,没有配置 token 的客户端将无法注册服务。
步骤2:创建子账号
1. 在 polarismesh 列表页面,单击目标实例引擎操作栏的控制台,输入用户名和密码,登录北极星控制台。
2. 进入北极星控制台后,在左侧导航栏选择用户,单击新建。
3. 输入子账户信息后,单击确定,完成子账户创建。
4. 主账号可在权限控制页面中查看所有用户或用户组的 token,并且对用户、用户组和权限策略做管理和编辑。
步骤3:关联用户组
说明
只有主账号才可对用户组进行编辑操作。
1. 在北极星控制台的左侧导航栏选择用户组,进入用户组列表页面,单击新建用户组。
2. 根据您的需要,为用户组命名,并且关联子账号。
步骤4:授权操作
您可以通过以下列表查看不同视角的授权操作。
说明
1. 使用主账号登录北极星控制台。
2. 在左侧导航栏选择权限管理 > 策略,进入权限管理页面,单击新建策略。
3. 填写策略基本信息,在角色栏可以选择需要授权用户或用户组,单击下一步选择授权的资源。
4. 在资源栏可选择北极星的资源类型,包括命名空间、服务等资源,主账号可对所有资源进行操作。
5. 单击下一步,进入预览界面,详细展示该策略涉及的用户、用户组以及资源。确认信息无误后,单击完成。
6. 主账号可在权限策略列表查阅现有的权限策略,可单击编辑进行授权或删除等操作。
1. 仅在主账号开启了鉴权模式下,使用子账户进入北极星控制台,左侧的导航栏才会出现策略选项。
2. 子用户无法新建和编辑权限策略,只能查看现有权限策略。
3. 子用户可将自己拥有写权限的资源权限分配给其他子用户或者用户组。具体操作请参见资源视角。
1. 仅在主账号开启了鉴权模式下,用户在创建、编辑命名空间或服务时,才可将该资源授权给其他用户或者用户组。接下来以命名空间为例,指导您如何在资源视角给用户授权。
2. 在 TSE 控制台 > polarismesh,选择已存在的北极星引擎实例,进入北极星控制台。在左侧导航栏中,选择命名空间,进入命名空间列表管理页面。
3. 单击新建,进入新建命名空间页面,根据您的需要填写信息,并且可在高级设置中选择需要授权的用户或用户组。
4. 单击提交,则完成创建命名空间且选择的用户或用户组对该命名空间具有操作权限。
5. 对于已经存在的命名空间,单击编辑,可以修改授权的用户或用户组。
注意事项
1. 只有主账号开启服务鉴权功能后,才能在控制台查看策略列表。
2. 资源隔离性:
所有子用户,对主账号的资源都默认具备读权限。
所有子用户或者用户分组,都默认获得对所创建的资源的写权限。
子用户可以获得所在的用户分组的所有资源写权限。
3. 每个用户初始都有一个策略默认策略。
子用户没有创建资源的情况下,默认策略中资源为空。
用户创建资源后,自动添加资源至默认策略。
删除资源时,引擎将自动把该资源从默认策略中删除。
4. 如果之前向 Polarismesh 引擎实例导入过腾讯云子账户,建议尽快使用北极星主账户修改已有子账户的登录密码。已有子账户的登录信息如下
用户名:{ 腾讯云子账户用户名称 }
密码:polarismesh@2022