跳转至

角色和权限管理

一个角色对应一组权限。权限决定了可以对资源执行的操作。向用户授予某角色,即授予该角色所包含的所有权限。

权限管理存在以下三种模式,能够灵活、有效地解决您在权限上的使用问题:

  • 全局管理模式
  • 子模块管理模式
  • 基于资源的管理模式

全局管理模式

全局管理模式是指您在全局管理模块通过系统角色给用户(用户组)配置权限的方式。 平台为每个子模块预定义了一个管理员角色,用于实现对子模块的分块化管理。 比如用户与访问控制的 IAM Owner、容器管理的 Kpanda Owner 等,每个子模块管理员均拥有该模块的最高权限。 子模块管理员角色需要在全局管理模块配置,可以通过以下几种途径获得:

  • 全局管理 -> 用户与访问控制 -> 用户的用户列表中,找到该用户;点击 ...,选择授权,为该用户赋予系统预定义的子模块管理员权限。

    用户授权

  • 全局管理 -> 用户与访问控制 -> 用户组的用户组列表中创建用户组,将该用户加入用户组,并给用户组授权(具体操作为:在用户组列表找到该用户组,点击 ...,选择授权,为该用户组赋予系统预定义的子模块管理员权限)。

    用户组授权

  • 全局管理 -> 用户与访问控制 -> 角色的角色列表中,找到相应的子模块管理员角色,点击角色名称进入详情,点击关联成员 按钮,选中该用户或用户所在的用户组,点击确定

    角色授权

支持此模式的子模块:用户与访问控制(IAM)、审计日志(Audit)、容器管理(Kpanda) 同时,平台的管理员角色(Admin)也可通过以上方式进行授权

全局管理模式

Note

  • Admin 平台管理员
  • IAM Owner 用户与访问控制模块管理员
  • Kpanda Owner 容器管理模块管理员
  • Audit Owner 审计日志模块管理员

子模块管理模式

子模块管理模式是指您可以通过子模块将不同的资源按需分配给不同的用户,同时对于同一种资源不同的用户也可以拥有不同的使用权限。 平台在子模块中为每个资源预定义了三种角色,分别是 Admin、Editor 和 Viewer。

  • Admin 角色对该资源具有管理权限,并且能够将该资源授权给其他人使用;
  • Editor 角色对资源具有使用权限,能够编辑、查看资源;
  • Viewer 角色对资源仅具有查看权限。

比如容器管理中集群 A 下的 Namespace01 中的 NS Admin 角色能够管理、编辑、查看 Namespace01,并且能够授权给其他用户 NS Admin、NS Editor 和 NS Viewer 角色。 Namespace01 的 NS Editor 角色能够编辑、查看 Namespace01,能够部署应用。 Namespace01 的 Viewer 角色仅能够查看 Namespace01。

支持此模式的子模块:容器管理

您可以在容器管理 -> 权限管理,选择添加授权,为用户/用户组授予 Cluster 或 Namespace 的权限。

子模块管理模式

Note

本手册中 Cluster 是指集群;NS 是 Namespace 的缩写,即命名空间。

基于资源的管理模式

  1. 基于资源的管理模式依赖于工作空间,通过集中统一的访问控制策略,将用户/用户组在工作空间中的角色权限应用到工作空间下的资源上,实现跨子模块授权用户(用户组)对于资源的访问权限。 比如用户 A 在工作空间 01 中是 Workspace Editor 角色,那么对于工作空间 01 下的全部资源,用户 A 都有 Editor 权限。 工作空间通常用于指代一个项目或环境,每个工作空间中的资源相对于其他工作空间中的资源是物理隔离的。 您可以通过工作空间中的“授权”,授予用户(用户组)同一组资源的不同访问权限。 同时,工作空间中包含不同模块中的多种类型资源,不同类型的资源在工作空间中有不同的呈现方式。

    • 模块名称:应用工作台微服务引擎中间件

      由于这些模块不支持全局管理模式和子模块管理模式的授权方式,仅依靠工作空间来获取授权。 因此所有的资源均在工作空间下创建,创建后资源自动绑定到工作空间上,以确保这些资源在创建后能够被授权使用。 这些资源被创建后,不会自动显示在工作空间的资源组或者共享资源中,仅能够在各个模块的资源列表中呈现。 (拥有Workspace的任意角色即可进入上述模块)

    • 容器管理

      容器管理支持全局管理模式、子模块管理模式和基于资源的管理三种授权方式。 因此在容器管理模块您可以选择通过用户与访问控制模块授予用户/用户组 Kpanda Owner 角色,或者通过容器管理模块本身的权限管理功能授予用户/用户组某个资源的相应权限,或者通过将资源(cluster 或 Namespace)绑定到工作空间的方式继承用户/用户组在工作空间的角色权限。 由于容器管理中的资源存在绑定和未绑定工作空间两种状态,因此为了区分两种不同的状态,绑定到工作空间中的资源将会在工作空间-资源组中呈现,且工作空间-资源组和容器管理的资源列表均提供了资源的绑定/解绑入口。 (Admin 角色或者 Workspace admin + Kpanda Owner 角色能够进行资源绑定)

    • 服务网格

      服务网格由于自身资源的特殊性,也存在绑定和未绑定两种状态。 因此,您可以通过 Admin 角色管理服务网格中的资源,或者将资源(Mesh 或 Mesh-Namespace)绑定到工作空间,使用户/用户组通过工作空间获得服务网格中资源的权限,被绑定的资源将在工作空间的资源组中进行显示。 当前仅服务网格模块提供了资源绑定入口。(Admin 角色能够进行资源绑定)

  2. 支持此模式的子模块:应用工作台、微服务引擎、中间件、容器管理、服务网格。

  3. 您可以通过全局管理 -> 工作空间与层级,创建工作空间,并在工作空间-授权中给用户/用户组授予 Workspace Admin、Workspace Editor、Workspace Viewer 角色。

    基于资源的管理模式2

Note

资源(Resource)泛指 DCE 平台上通过各个子模块创建的资源,是完成授权的具体数据。通常资源描述一个或多个操作对象,每个子模块拥有其各自的资源和对应的资源定义详情。 如集群、Namespace、网关等。资源的拥有者是主账号 Admin,Admin 具有在各子模块创建/管理/删除资源的权限,普通用户在没有授权的情况下,不会自动拥有资源的访问权限,需要资源拥有者授权。 通常资源拥有者将一组资源加入到某个工作空间,再通过工作空间给用户(用户组)授权,使用户/用户组获得某些资源的操作权限。

评论