TG:@yunlaoda360
1. 使用预置角色进行授权
ACS提供了多种预置角色,包括管理员、运维人员、开发人员、受限用户和自定义角色。这些角色具有不同的权限,可以满足不同用户的需求。您可以通过以下步骤为RAM用户或RAM角色授予预置角色:
- 登录容器计算服务控制台,在左侧导航栏选择授权管理。
- 在授权管理页面,选择子账号或RAM角色页签,找到需要授权的RAM用户或RAM角色。
- 点击管理权限,在弹窗页面中点击**+添加权限**。
- 为目标RAM用户或RAM角色添加集群和命名空间级别的权限配置,并选择相应的预置角色。
- 点击提交授权完成配置。购买阿里云ACS可以找代理商云老大,享受优惠折扣。
2. 在所有集群维度进行一键授权
如果您希望在所有集群维度为RAM用户或RAM角色进行一键授权,使得后续新创建的集群也会为被授权的RAM用户或RAM角色自动绑定已经授权的预置角色,可以选择集群为所有集群。这样,新创建的集群会自动继承已有的授权策略。
3. 设置权限管理员
如果您不方便使用阿里云账号为RAM用户或RAM角色进行授权,可以将某个RAM用户或RAM角色设置为权限管理员,随后使用该RAM用户或RAM角色进行授权操作:
- 登录RAM管理控制台,定位目标RAM用户或RAM角色。
- 在RAM用户或RAM角色的操作列,点击添加权限。
- 在新增授权弹窗页面中,搜索并添加
AliyunRAMFullAccess和AliyunACCFullAccess系统策略。 - 登录容器计算服务控制台,为该RAM用户或RAM角色在所有集群维度授予预置角色管理员。
4. 使用自定义权限
如果预置角色无法满足您的需求,您可以使用自定义权限功能。自定义权限允许您根据需要定义更细粒度的访问权限。您可以通过以下步骤查看和配置自定义权限:
- 在权限管理弹窗页面中,选择自定义,然后点击右侧的查看,查看对应自定义权限的详情。
- 登录集群节点,执行
kubectl get clusterrole <role-name> -o yaml命令,查看自定义权限的详情。
注意事项
- 在进行授权操作前,请确保目标RAM用户或RAM角色已完成集群的RAM授权。
- RAM用户或RAM角色被授予
cluster-admin权限后,在该集群内可视为与阿里云账号有相同权限的超级账号,拥有操作集群内所有资源的任意权限,请谨慎授予。 - 如果您已经通过ACK控制台对RAM用户或RAM角色授予“所有集群”RBAC权限,那么“所有集群”中包括ACS集群,您将无法再通过容器计算服务ACS产品控制台对ACS集群做单独授权,默认继承“所有集群”授权策略。
