概述

为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下：

• 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。

• Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。

假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。

权限设计

下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。

下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

IAM授权

租户管理员拥有所有产品权限，负责给各个职能团队进行IAM授权，根据本例子的权限设计，首先创建四个用户组，分别是系统管理人员、运维人员、开发人员、访客人员，方便对员工分组管理。

创建用户组

打开IAM控制台页面，在左边侧边栏选择用户组，跳转到用户组页面，点击创建「创建用户组」按钮进行创建。

例如，为系统管理团队创建「系统管理人员」用户组

访问IAM用户管理页面，点击页面上的授权按钮进行操作，赋予用户组权限。

本例子将赋予「系统管理人员」用户组 ccseone-admin 权限。

行管人员：搭建基础设施、配置权限策略

1. 创建注册集群、舰队和联邦

在上述步骤中，租户管理员向行政管理人员分配「ccseone-admin」权限。此权限允许行政管理人员创建注册集群、舰队和联邦等资源，从而利用分布式容器云平台搭建其基础设施。若需批量管理注册集群的权限，可将目标注册集群加入舰队，然后为相应的舰队成员用户赋予权限，实现统一管控。

2. Kubernetes RBAC授权

除了IAM授权，用户需要访问Kubernetes 资源还需要进行Kubernetes RBAC授权。

配置Kubernetes RBAC权限策略

分布式容器云平台提供四种预置权限（管理员、运维人员、开发人员和受限人员），同时支持用户灵活创建自定义权限。创建自定义权限，可访问分布式容器云平台「平台服务」-> 「权限管理」页面，进行Kubernetes RBAC权限策略管理。

关联权限

Kubernetes RBAC 权限策略需完成「关联权限」操作后生效，该操作可在注册集群、舰队或联邦的对应列表页面进行。

为开发用户关联开发人员权限

开发团队：创建工作负载

系统管理人员完成基础设施搭建及权限配置后，开发人员即可使用这些基础设施资源，通过集群控制台创建和管理工作负载，展开开发工作。

访客：查看资源

访客（仅具有查看资源权限的人员）可执行集群、容器舰队、工作负载等资源的查看操作。