角色访问控制RBAC(Role-Based Access Control)的Kubernetes对象Role和ClusterRole中包含一组代表相关权限的规则。Role用于在某个命名空间内设置访问权限,ClusterRole用于为集群范围的资源定义访问权限。本文介绍如何自行编写Kubernetes的ClusterRole和Role。
权限策略说明
您可自行编写权限策略,或通过容器计算服务控制台创建自定义策略。
Role:命名空间维度
如果您需要在命名空间内定义角色,则应该使用Role。
以下是一个位于default命名空间的Role的YAML示例,用来授予对Pods的所有权限。
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: test-role
namespace: default
rules:
- apiGroups:
- ""
resources:
- pods
verbs:
- create
- delete
- deletecollection
- get
- list
- patch
- update
- watch
ClusterRole:集群维度
如果您需要定义集群范围的角色,则应该使用ClusterRole。
以下是一个ClusterRole的示例,用来为任一特定命名空间中的Pods授予所有权限。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: test-clusterrole
rules:
- apiGroups:
- ""
resources:
- pods
verbs:
- create
- delete
- deletecollection
- get
- list
- patch
- update
- watch
关于Role和ClusterRole的更多信息,请参见Role和ClusterRole。
创建Kubernetes自定义授权策略
说明
本步骤展示了为RAM用户或RAM角色创建自定义ClusterRole,过程与创建Role大体相同。您可以根据实际需求调整相应操作。
后续步骤
关于如何授予RAM用户或RAM角色自定义Kubernetes授权策略,请参见配置RAM用户或RAM角色RBAC权限。
重要
当前容器计算服务授权管理仅支持自定义ClusterRole角色与集群内RBAC权限的绑定,不支持自定义Role角色与集群内RBAC权限的绑定。