授權體系

容器服務ACK的授權體系包含對基礎資源層的RAM授權以及對集群層的RBAC授權。授權體系如下圖所示。

• RAM授權：基于RAM系統策略或自定義策略的授權，屬于云資源維度的授權，通過RAM授權，您可以獲取容器服務ACK產品及其所依賴阿里云云產品的OpenAPI操作權限，對集群進行如下運維操作：

  • 集群：創建、查看、升級、刪除

  • 節點池：創建、修改、擴縮容

  • 授權管理

  • 集群監控、日志、事件

• RBAC授權：基于Kubernetes RBAC的授權，屬于集群內部資源維度的授權，通過RBAC授權，可以讓不同的用戶擁有操作不同Kubernetes資源的操作權限。主要包括對以下Kubernetes對象資源的增刪改查操作：

  • 工作負載：Deployment、StatefulSet、DaemonSet、Job、CronJob、Pod、ReplicaSet等

  • 網絡：Service、Ingress、NetworkPolicy等

  • 存儲：PV、PVC、StorageClass等

  • Namespace、ConfigMap 、Secrets等

權限類型

RAM授權

默認情況下，RAM用戶或RAM角色沒有使用云服務OpenAPI的任何權限，當您需要通過RAM用戶或RAM角色管理云服務資源時，您可以為RAM用戶或RAM角色配置系統策略及自定義策略的權限，以適應不同的場景需求。具體操作，請參見使用RAM授予集群及云資源訪問權限。

RAM授權其他使用場景

• 您可以使用標簽對集群做分類，并匹配對應的RAM權限策略，實現集群的精細化權限管理，使不同的用戶可以擁有不同的集群的訪問權限。具體操作，請參見通過標簽實現精細化權限管理。

• 當您通過Worker RAM角色為特定的應用授權時，權限將會共享給集群內所有的節點，可能會存在非預期的權限擴散的風險。您可以在創建節點池時為其指定一個自定義的Worker RAM角色，通過為不同的節點池分配特定的角色，降低在集群所有節點中共用一個Worker RAM角色可能存在的風險。具體操作，請參見使用自定義Worker RAM角色。

• 如需提升集群內應用訪問其他云服務資源的安全性，您可以通過RRSA配置ServiceAccount的RAM權限實現Pod權限隔離。具體操作，請參見通過RRSA配置ServiceAccount的RAM權限實現Pod權限隔離。

• 為了提升ACK托管集群節點的安全性，您可以基于最小化原則手動調整和優化已分配給Worker節點的RAM角色所具有的權限。具體操作，請參見手動收斂ACK托管版集群的Worker RAM角色權限。

RBAC授權

RAM授權后僅擁有集群的操作權限，若RAM用戶或RAM角色需要操作指定集群內Kubernetes資源時（例如，獲取集群Pod和節點信息），您需要在的授權管理頁面對指定RAM用戶或RAM角色進行RBAC授權。

容器服務管理控制臺預置了多種ClusterRole，方便您為RAM用戶或角色分配對應的權限。具體操作，請參見為RAM用戶或RAM角色授予RBAC權限。