TG:@yunlaoda360
1. RAM授权
- 系统策略授权:容器服务ACK在RAM侧提供了AliyunCSFullAccess和AliyunCSReadOnlyAccess两个系统策略。但这两个策略授权操作包括ACS类型在内所有ACK集群,因此需谨慎授权。
- 自定义策略授权:用户可自定义授权策略,实现对目标RAM用户或RAM角色的细粒度云资源访问控制。例如,可为RAM用户或RAM角色授予对特定OSS Bucket的读取权限。
2. RBAC授权
基于Kubernetes RBAC,ACS实现了对集群内Kubernetes资源的访问控制。在控制台的授权管理页面中,提供了命名空间维度的细粒度RBAC授权能力,包括:
- 预置了管理员、运维人员、开发人员等对应的RBAC权限模板,降低了RBAC授权的使用难度。
- 支持多集群和多个子账号的批量授权。
- 支持RAM角色扮演用户的授权。
- 支持绑定用户在集群中自定义的ClusterRole。
3. RRSA功能
RRSA功能可实现集群内应用Pod之间的云资源访问权限的细粒度隔离。工作流程如下:
- 用户提交使用了服务账户令牌卷投影功能的应用Pod。
- 集群为该应用Pod创建和挂载相应的服务账户OIDC Token文件。
- Pod内程序使用挂载的OIDC Token文件访问STS服务的AssumeRoleWithOIDC接口,获取指定RAM角色的临时凭证。
- Pod内应用程序使用获取到的临时凭证访问云资源OpenAPI。
4. 其他方式
- 为RAM用户和RAM角色授权:用户可自定义策略,然后授予RAM用户和RAM角色自定义策略权限。
- 配置权限助手:权限助手功能可用于函数计算的服务、函数、层、域名等粒度相关的权限策略配置。
