概述
平台的用户角色管理功能是基于 Kubernetes RBAC(Role-Based Access Control,基于角色的权限访问控制)实现的,通过 RBAC 可将平台上的角色和用户进行关联,灵活地为不同用户配置不同的权限。
角色是对平台上 Kubernetes 资源操作权限的集合。平台上资源的操作权限包括创建、查看、更新、删除,角色将不同资源的操作权限进行分类和组合。通过为用户分配角色、设置权限生效范围,即可快速下发平台上资源的操作权限。
相应地,通过移除用户已有的角色,可快速回收权限。
一个角色可拥有一个或多个类型资源的一种或多种操作权限;可为一个用户分配多个角色,也可以将一个角色分配给多个用户。
例如:角色 A 仅拥有项目的查看、创建权限;角色 B 可同时拥有用户、项目和命名空间的创建、查看、更新、删除权限。
系统角色
为满足常用的权限配置场景,平台默认设置了如下系统角色,可通过系统角色灵活、便捷地实现平台上资源的访问控制,为平台上用户进行权限下发和回收。
| 角色名称 | 说明 | 角色级别 |
|---|---|---|
| 平台管理员 | 具备平台所有业务及资源的全部权限。 | 平台 |
| 平台审计人员 | 负责整个平台的审计工作,可查看平台所有资源与操作记录,没有查看外的其他操作权限。 | 平台 |
| 集群管理员(Alpha) | 负责集群内的管理、维护工作,具备集群下所有资源的全部权限。 | 集群 |
| 项目管理员 | 负责绑定、解绑命名空间管理员,并管理命名空间的配额。 | 项目 |
| 命名空间管理员 | 负责给命名空间添加成员并设置角色。 | 命名空间 |
| 开发人员 | 负责在该命名空间下开发、部署、维护自定义应用。 | 命名空间 |
自定义角色
为了丰富平台的资源访问权限控制场景,平台支持您自定义角色,灵活配置角色的权限。相对于系统角色,该类角色允许更新、删除,管理起来更加灵活,但执行更新、删除操作时需谨慎,避免误操作导致用户权限丢失。例如:删除某个自定义角色后,绑定了该角色的所有用户将自动失去角色赋予的权限。