UCS权限介绍
华为云UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。
UCS权限类型
UCS权限管理是在IAM与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能。支持UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下:
UCS服务资源权限:是基于IAM系统策略的授权。UCS服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对UCS资源的使用范围。
集群中Kubernetes资源权限:是基于Kubernetes RBAC能力的授权,可授予针对集群内Kubernetes资源对象的细化权限,通过权限设置可以让不同的用户有操作不同Kubernetes资源对象(如工作负载、任务、服务等Kubernetes原生资源)的权限。
权限管理流程
新建IAM用户的权限管理流程如下图所示:
示例:某公司权限设计及配置
假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用IAM和UCS的权限管理,可以实现精细化授权的目标。
- 行管团队:负责管理公司所有资源的团队。
- 开发团队:负责业务开发的团队。
- 运维团队:负责查看并监控所有资源使用情况的团队。
- 访客:预留的只读权限团队,指那些仅具有查看资源权限的人员。
公司不同的职能团队针对UCS资源的操作范围如下所示:
1:由Tenant Administrator角色的管理员为各个职能团队授权。
2、3、4、5、6、7、8:拥有UCS FullAccess权限的行管团队负责创建舰队、注册集群、将集群加入舰队,以及开通集群联邦能力,搭建多集群联邦基础设施。同时,行管团队创建权限,并将权限关联至舰队或未加入舰队的集群,使开发团队对具体的Kubernetes资源拥有相应的操作权限。
9、10:拥有UCS CommonOperations权限的开发团队执行创建工作负载、流量分发等操作。
11:拥有UCS CIAOperations权限的运维团队执行监控运维等操作。
12:拥有UCS ReadOnlyAccess权限的访客进行集群、舰队、工作负载等资源的查看操作。
权限常见问题
权限常见问题
活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理
活动时间: 2020年8月12日-2020年9月11日
活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;