UserGroupAccessControl 说明

最近更新时间:2023-09-08 19:13:04

我的收藏

简介

组件介绍

UserGroupAccessControl 用户组访问控制组件,支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组,便于对子账号进行细粒度的访问权限控制。

部署在集群内的 Kubernetes 对象

kubernetes 对象名称
类型
资源量
Namespaces
user-group-access-control
ServiceAccount
-
kube-system
user-group-access-control
ClusterRole
-
kube-system
user-group-access-control
ClusterRoleBinding
-
kube-system
user-group-access-control
Service
-
kube-system
user-group-access-control
ConfigMap
-
kube-system
user-group-access-control
Deployment
0.5C1G(针对新建)
kube-system

使用场景

CAM 用户组是多个相同职能的用户(子账号)的集合,可以实现批量的授权、设置订阅消息等功能,本组件适用于需要在 TKE 标准集群中为职能相同的子账号快速设置相同的 Kubernetes 对象访问权限场景。

限制条件

该功能仅支持 TKE 托管集群。
K8S 集群版本 ≥ 1.16。

操作步骤

说明:
如果您需要使用 UserGroupAccessControl 组件,请通过 提交工单 申请开通。

步骤1:新建用户组

您需要在访问管理 CAM 服务中完成用户组创建,操作详情请参见 新建用户组。若您已有用户组,可跳过此步骤。

步骤2:安装组件

1. 登录 容器服务控制台,选择左侧导航栏中的集群
2. 集群管理页面,单击目标集群 ID,进入集群详情页。
3. 选择左侧导航中的组件管理,在组件管理页面中单击新建。
4. 新建组件页面,选择认证授权模块,勾选 UserGroupAccessControl 组件。如下图所示:



5. 单击服务授权。为让容器服务可以读取到您账号下的用户组信息,需要您在组件安装时完成角色 “TKE_QCSRole” 关联预设策略 “QcloudAccessForTKERoleInGroupsForUser” 的引导授权。如下图所示:



服务授权页面中,确认角色名称和授权策略,单击同意授权



6. 返回新建组件页面,单击完成。组件创建完成后,您可以在组件管理页面查看组件详情。

步骤3:为用户组创建角色并绑定策略

1. 选择左侧导航栏中的授权管理 > ClusterRole,在 ClusterRole 页面单击 RBAC 策略生成器
2. 新建 ClusterRole 中,账号类型选择用户组,并勾选用户组。如下图所示:



3. 单击下一步。在集群 RBAC 设置中,为指定用户组设置 Kubernetes 对象资源权限。
4. 单击完成

步骤4:查看角色绑定策略

选择左侧导航栏中的授权管理 > ClusterRoleBinding,在 ClusterRoleBinding 中查看以用户组 ID 命名开头的权限策略信息。如下图所示:



说明:
若您需要变更腾讯云资源的操作权限,如组内子账号迁移、增加/删除云产品的操作权限,您仅需在 CAM 侧的用户组进行修改,权限变更的结果会在您创建的角色绑定策略中即时生效。操作详情请参见 为用户组添加/移除用户