红帽全球峰会5.2. 在 OpenShift Cluster Manager 中配置用户对集群的访问权限
5.2.1. 查看集群中的用户角色和访问权限
您可以从 OCM Roles 和 Access 屏幕查看集群中分配了角色的用户列表。
如果您是红帽帐户或 Cluster Owner 中的机构管理员,您还可以从此屏幕中编辑用户及其对集群的访问权限。其他用户只能查看有关集群中的用户和角色的信息。
先决条件
- 一个 Red Hat 登录
- 机构中的现有 OpenShift 集群
流程
- 从 Clusters 列表中选择您的集群。
- 点 Access Control > OCM Roles and Access 查看分配了角色来访问集群的用户列表。
5.2.2. 为集群访问权限授予用户角色
创建 OpenShift 集群后,您可以授予对集群中其他用户的访问权限。这可让您的团队的成员管理或查看集群,而无需是红帽帐户的机构管理员。
先决条件
- 红帽登录信息。
- 现有的 OpenShift 集群。
- 您必须是集群中的 Cluster Owner,或红帽账户中的机构管理员
- 要授予权限的用户必须在您的机构中
流程
要为您机构中的用户授予角色:
- 从 Clusters 列表中选择您的集群。
- 点 Access Control > OCM Roles and Access。
- 点 Grant role。
- 输入用户的红帽登录信息。
- 从列表中选择您想要的角色(如 Cluster Viewer)。
- 点 Grant role 以确认角色分配。
验证
该用户列在 OCM Roles 和 Access 屏幕中,并分配了角色。
5.2.3. 为集群撤销用户角色
如果您是 Cluster Owner 或 Organization Administrator,您可以撤销用户的集群权限。
先决条件
- 红帽登录信息。
- 现有的 OpenShift 集群。
- 您必须是集群中的 Cluster Owner,或红帽账户中的机构管理员
- 机构中有权访问集群的用户
流程
撤销用户的访问权限:
- 从 Clusters 列表中选择您的集群。
- 点 Access Control > OCM Roles and Access。
-
点列表中用户旁的
(更多选项),然后点 Delete。
- 单击 Confirm。
验证
用户不会在 OCM Roles 和 Access 中的 users 列表中显示。
5.2.4. 使用基于角色的访问控制来分配用户和组
您可以使用基于角色的访问控制(RBAC)来创建和管理用户组。通过为组分配角色,您可以作为一个组来管理用户的访问权限。使用 RBAC 分配的角色应用到您的机构中的所有集群,而不是特定集群。RBAC 在 Red Hat Hybrid Cloud Console 的 Settings gear 中的 Identity & Access Management 菜单中提供。
只有机构管理员可以使用基于角色的访问控制(RBAC)管理和分配角色。
机构管理员可以更改其机构中用户的默认访问权限。基于角色的访问控制默认为两个组。默认成员组 具有机构中的所有用户作为成员。默认 admin 组 具有机构管理员角色作为成员的所有用户。
OCM 访问策略通过角色分配显式分配给这些默认组。这样,现有的 RBAC 策略不再明确,用户可以修改它们。机构管理员能够从默认组中删除角色分配,以从所有用户中删除默认权限。然后,他们可以选择性地将这些角色分配给特定的用户或组,以管理其机构中用户的权限。
从默认组中删除所有 OCM 角色会导致用户丢失查看和置备集群的能力。建议在从默认组中撤销访问权限前,设置用户组并为这些组分配特定的角色。
范围管理该角色应用到用户或组群的级别。OCM 中有两个范围,集群范围和机构范围 。角色可以在集群范围或组织范围内授予用户或组。
在集群范围内授予的角色可让用户为角色授予的特定集群执行允许的操作(由角色中包含的权限指定)。本质上,集群范围的角色分配适用于特定集群。
在机构范围内授予的角色可让用户为机构中的所有集群执行允许的操作(由角色中包含的权限指定)。本质上,机构范围的角色分配是跨集群,适用于机构中的所有集群。
用户可以通过 Red Hat Hybrid Cloud Console 中的 RBAC 服务创建和管理机构中用户的组和组成员资格。
用户可以使用 RBAC 为组分配角色。使用 RBAC 分配的任何角色都位于机构级别,并应用到机构中的所有集群。
用户可以为特定集群在 OCM 中的用户分配角色。它们从特定集群的上下文内执行此操作,此角色分配在集群范围内。
有关在 Red Hat Hybrid Cloud Console 中使用 RBAC 的更多信息,请参阅基于角色的访问控制(RBAC)的用户访问配置指南。
5.2.4.1. 使用 RBAC 将角色和用户分配给组
将角色添加到创建的组时,您可以添加 OCM 特定角色。使用这些特定于 OCM 的角色,为机构中的用户或组提供更精确地对集群的访问。在组中添加角色时,请使用搜索框并键入"OCM"来查找您可以添加的所有 OCM 特定角色。
您可以添加的角色有:
- Cluster viewer: 此角色允许用户查看集群。
- Cluster provisioner: 此角色允许用户置备集群。
- 集群编辑器: 此角色允许用户管理和删除集群。
- 机构管理员: 此角色允许用户为所有集群执行 OCM 中的所有任务。用户仅在 OCM 服务内被授予机构管理员权限,这不适用于任何其他红帽服务。
- IdP 编辑器: 此角色允许用户管理集群的身份提供程序。
- 机器池编辑器: 此角色允许用户在集群中创建、扩展和删除机器池。
有关向创建组添加角色的过程的详细信息,请使用角色和成员读取管理组访问权限。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}