简介
组件介绍
UserGroupAccessControl 用户组访问控制组件,支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组,便于对子账号进行细粒度的访问权限控制。
部署在集群内的 Kubernetes 对象
kubernetes 对象名称 | 类型 | 资源量 | Namespaces |
user-group-access-control | ServiceAccount | - | kube-system |
user-group-access-control | ClusterRole | - | kube-system |
user-group-access-control | ClusterRoleBinding | - | kube-system |
user-group-access-control | Service | - | kube-system |
user-group-access-control | ConfigMap | - | kube-system |
user-group-access-control | Deployment | 0.5C1G(针对新建) | kube-system |
使用场景
CAM 用户组是多个相同职能的用户(子账号)的集合,可以实现批量的授权、设置订阅消息等功能,本组件适用于需要在 TKE 标准集群中为职能相同的子账号快速设置相同的 Kubernetes 对象访问权限场景。
限制条件
该功能仅支持 TKE 托管集群。
K8S 集群版本 ≥ 1.16。
操作步骤
说明:
步骤1:新建用户组
步骤2:安装组件
1. 登录 容器服务控制台,选择左侧导航栏中的集群。
2. 在集群管理页面,单击目标集群 ID,进入集群详情页。
3. 选择左侧导航中的组件管理,在组件管理页面中单击新建。
4. 在新建组件页面,选择认证授权模块,勾选 UserGroupAccessControl 组件。如下图所示:
5. 单击服务授权。为让容器服务可以读取到您账号下的用户组信息,需要您在组件安装时完成角色 “TKE_QCSRole” 关联预设策略 “QcloudAccessForTKERoleInGroupsForUser” 的引导授权。如下图所示:
在服务授权页面中,确认角色名称和授权策略,单击同意授权。
6. 返回新建组件页面,单击完成。组件创建完成后,您可以在组件管理页面查看组件详情。
步骤3:为用户组创建角色并绑定策略
1. 选择左侧导航栏中的授权管理 > ClusterRole,在 ClusterRole 页面单击 RBAC 策略生成器。
2. 在新建 ClusterRole 中,账号类型选择用户组,并勾选用户组。如下图所示:
3. 单击下一步。在集群 RBAC 设置中,为指定用户组设置 Kubernetes 对象资源权限。
4. 单击完成。
步骤4:查看角色绑定策略
选择左侧导航栏中的授权管理 > ClusterRoleBinding,在 ClusterRoleBinding 中查看以用户组 ID 命名开头的权限策略信息。如下图所示:
说明:
若您需要变更腾讯云资源的操作权限,如组内子账号迁移、增加/删除云产品的操作权限,您仅需在 CAM 侧的用户组进行修改,权限变更的结果会在您创建的角色绑定策略中即时生效。操作详情请参见 为用户组添加/移除用户。