概述

最近更新时间:2019-10-29 16:50:25

为满足企业客户不同成员使用 TSF 平台的接口操作权限、资源操作权限的需求,当前腾讯微服务平台支持主账号为子账号灵活分配不同角色、不同数据集的权限。

操作场景

当前 TSF 可以支持以下几种场景的使用:

  • 为子账号或协作者配置全部资源的全读写策略。
  • 为子账号或协作者配置全部资源的部分操作权限,如可以为部分用户配置应用、微服务、配置的全读写策略,以及集群、命名空间的只读策略。
  • 为子账号和协作者配置某些资源(一个或多个)的读或写权限,如可以为不同的子账号配置不同命名空间、不同应用的不可见、只读、全读写权限。

操作步骤

在子账号和协作者使用 TSF 平台之前,需要进行以下几个步骤:

  1. 按照 准备工作 中,“子账号和协作者使用 TSF”部分文档进行操作,这一步保证了用户使用 TSF 时,TSF 访问 VPC、 TKE 等云资源的服务角色权限。
  2. 按照 角色管理数据集管理授权管理 三个文档进行操作,配置子账号和协作者使用 TSF 平台时操作和数据集权限。

预设策略

TSF 提供了 QcloudTSFFullAccess 和 QcloudTSFReadOnlyAccess 两条预设策略。

策略名称 作用
QcloudTSFReadOnlyAccess 只读策略,包含 TSF 全部集群、命名空间、应用、服务等资源的全部只读操作
QcloudTSFFullAccess 全读写策略,包含 TSF 全部集群、命名空间、应用、服务等所有资源的全部操作

预设策略只限制用户操作,没有对数据进行过滤。当用户对数据过滤没有需求时,可以只绑定预设策略即可,无需进行上述使用步骤中的步骤2(步骤1还需要进行)。

说明:

  • 截止至2019年10月10日,TSF 现网所有子账号和协作者都默认绑定了 QcloudTSFFullAccess 权限,当用户需要精细化的配置操作和数据集权限时,需要解绑全读写策略 QcloudTSFFullAccess 并按照上述步骤2进行操作。
  • 当为用户绑定了多条策略时,多条策略以白名单的形式取并集生效。
  • QcloudTSFReadOnlyAccess 相当于配置一条只读角色操作权限和全数据集权限。当主账号想要设置某子账号对某些资源不可见时,不要绑定 QcloudTSFReadOnlyAccess 策略。