红帽全球峰会You are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
13.4. 在 Red Hat Advanced Cluster Security for Kubernetes 中管理 RBAC
Red Hat Advanced Cluster Security for Kubernetes(RHACS)附带了基于角色的访问控制(RBAC),可用于为不同的用户配置角色并授予不同级别的 Red Hat Advanced Cluster Security for Kubernetes。
Red Hat Advanced Cluster Security for Kubernetes 3.63 包含范围的访问控制功能,可让您配置精细和特定的权限集,用于定义给定 Red Hat Advanced Cluster Security for Kubernetes 用户或一组用户如何与 Red Hat Advanced Cluster Security for Kubernetes 交互,以及他们可以执行的操作。
角色是 权限集和访问范围的集合。您可以通过指定规则为用户和组分配角色。您可以在配置身份验证供应商时配置这些规则。Red Hat Advanced Cluster Security for Kubernetes 中有两种角色:
- 红帽创建的系统角色是无法更改的。
自定义角色,Red Hat Advanced Cluster Security for Kubernetes 管理员可以随时创建和更改。
注意- 如果您为用户分配多个角色,就可以访问所分配角色的组合权限。
- 如果您为用户分配了一个自定义角色,并且删除了该角色,则所有关联的用户都会转移到您配置的最少访问角色。
权限集 是定义角色在给定资源上可以执行的操作的一组权限。资源是 Red Hat Advanced Cluster Security for Kubernetes 的功能,您可以为其设置(
读取)和修改(写入)权限。Red Hat Advanced Cluster Security for Kubernetes 中有两种类型的权限集:- 系统权限集,由红帽创建且不可更改。
- 自定义权限集,Red Hat Advanced Cluster Security for Kubernetes 管理员可以随时创建和更改。
访问 范围是用户可以访问的一组 Kubernetes 和 OpenShift Container Platform 资源。例如,您可以定义一个访问范围,它只允许用户访问给定项目中 pod 的信息。Red Hat Advanced Cluster Security for Kubernetes 中存在两种类型的访问范围:
- 系统访问范围,由红帽创建且不可更改。
- 自定义访问范围,Red Hat Advanced Cluster Security for Kubernetes 管理员可以随时创建和更改。
13.4.1. 系统角色
Red Hat Advanced Cluster Security for Kubernetes 包括了一些默认系统角色,您可以在创建规则时应用到用户。您还可以根据需要创建自定义角色。
| 系统角色 | 描述 |
|---|---|
| Admin | 此角色面向管理员。使用它提供对所有资源的读写访问权限。 |
| 分析师 | 此角色适用于无法进行任何更改但可以查看所有内容的用户。使用它为所有资源提供只读访问权限。 |
| 持续集成 | 此角色针对 CI(持续集成)系统,包括实施部署策略所需的权限。 |
| 无 | 此角色没有对任何资源的读写访问权限。您可以将此角色设置为所有用户的最低访问角色。 |
| sensor Creator | Red Hat Advanced Cluster Security for Kubernetes 使用此角色来自动执行新的集群设置。它包含在安全集群中创建 Sensors 的权限。 |
| Scope Manager | 此角色包含创建和修改访问范围所需的最低权限。 |
13.4.1.1. 查看系统角色的权限集和访问范围
您可以查看默认系统角色的权限集和访问范围。
流程
-
在 RHACS 门户网站中,导航至 Platform Configuration
Access control。 - 选择 Roles。
- 点击其中一个角色来查看其详细信息。详情页面中显示了所选角色的权限集和访问范围。
您不能修改默认系统角色的权限集和访问范围。
13.4.1.2. 创建自定义角色
您可以从 Access Control 视图创建新角色。
先决条件
-
您必须具有 Admin 角色,或者具有为
AuthProvider和Role资源设置的具有读写权限的角色,才能创建、修改和删除自定义角色。 - 在创建角色前,您必须创建权限集和自定义角色的访问范围。
流程
-
在 RHACS 门户网站中,导航至 Platform Configuration
Access control。 - 选择 Roles 选项卡。
- 单击 Add role。
- 为 新角色 输入名称和描述。
- 为角色选择 Permission set。
- 选择角色的 Access 范围。
- 点击 Save。
13.4.1.3. 为用户或组分配角色
您可以使用 RHACS 门户将角色分配给用户或组群。
流程
-
在 RHACS 门户网站中,导航至 Platform Configuration
Access Control。 - 从身份验证提供程序列表中,选择身份验证提供程序。
- 单击 Edit minimum role and rules。
- 在 Rules 部分下,单击 Add new rule。
-
对于 Key,请从
userid、name、mail 或group中选择一个值。 - 对于 Value,根据您选择的键,输入用户 ID、名称、电子邮件地址或组的值。
- 点 Role 下拉菜单并选择您要分配的角色。
- 点击 Save。
您可以为每个用户或组重复这些指令并分配不同的角色。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}