Service MeshASM執行個體的授權分為RAM授權和RBAC授權兩部分。本文介紹兩種授權的內容以及如何進行授權。
Service Mesh產品授權
如果您想要完整地使用Service MeshASM的各項能力,您必須為ASM授權,使其能夠訪問您的其他雲產品,例如ASM需要訪問Log Service為您建立審計日誌Project和LogStore,您才能使用Log Service採集資料平面的AccessLog。ASM通過服務關聯角色擷取相應的雲產品許可權,您需要建立服務關聯角色,完成對Service Mesh產品的授權。具體操作,請參見管理ASM服務關聯角色。
RAM使用者授權
通過RAM使用者使用Service Mesh時涉及RAM許可權和RBAC許可權,您需要根據需求為RAM使用者針對兩種許可權分別進行授權。
RAM授權
在企業對接RAM的帳號系統中,營運人員通過RAM使用者(即子帳號)管理雲端服務資源是一個常見情境。然而預設情況下RAM使用者沒有使用雲端服務OpenAPI的任何許可權,為了保證RAM使用者的正常使用,需要對RAM使用者授權。
您可以通過授予RAM使用者OpenAPI的許可權,控制RAM使用者ASM控制台操作的許可權和OpenAPI操作的許可權,實現細粒度的雲資源存取控制。更多資訊,請參見為RAM使用者和RAM角色授權。
RBAC授權
RBAC授權是網格維度許可權控制,用於控制RAM使用者ASM自訂資源(例如虛擬服務、目標規則等)的操作許可權,一個RAM使用者對不同的網格執行個體可以有不同的RBAC許可權。
ASM內建了以下四種角色,分別對應不同的RBAC許可權。您可以通過ASM控制台給RAM使用者授予以下預置角色。
角色 | 叢集內RBAC許可權 |
網格管理員 | 對所有命名空間下所有資源(即ASM的自訂資源)的讀寫權限。 |
Istio資源管理員 | 對所有命名空間下除ASM網關(IstioGateway)之外的資源擁有讀寫權限。 |
網格管理受限人員 | 對所有命名空間或所選命名空間下控制台可見資源(即ASM的自訂資源)的唯讀許可權。 |
無許可權 | 對所有命名空間下所有資源(即ASM的自訂資源)沒有任何讀寫權限。 |
為RAM使用者授權
在RAM控制台建立RAM使用者。具體操作,請參見建立RAM使用者。
根據需要授予RAM使用者相應的RBAC許可權。具體操作,請參見授予RAM使用者和RAM角色RBAC許可權。
根據需要授予RAM使用者相應的RAM策略。具體操作,請參見為RAM使用者和RAM角色授權。