tencent cloud

容器服务

动态与公告
产品动态
公告
产品发布记录
产品简介
产品概述
产品优势
产品架构
应用场景
产品功能
基本概念
原生 Kubernetes 名词对照
容器服务高危操作
地域和可用区
开源组件
购买指南
购买指引
购买 TKE 标准集群
购买原生节点
购买超级节点
快速入门
新手指引
快速创建一个标准集群
入门示例
容器应用部署 Check List
集群配置
标准集群概述
集群管理
网络管理
存储管理
节点管理
GPU 资源管理
远程终端
应用配置
工作负载管理
服务和配置管理
组件和应用管理
弹性伸缩
容器登录方式
可观测配置
运维可观测性
成本洞察和优化
调度配置
调度组件概述
资源利用率优化调度
业务优先级保障调度
Qos 感知调度
安全和稳定性
容器服务安全组设置
身份验证和授权
应用安全
多集群管理
计划升级
备份中心
云原生服务指南
云原生 etcd
Prometheus 监控服务
TKE Serverless 集群指南
TKE 注册集群指南
实践教程
集群
Serverless 集群
调度
安全
服务部署
网络
发布
日志
监控
运维
Terraform
DevOps
弹性伸缩
容器化
微服务
成本管理
混合云
AI
故障处理
节点磁盘爆满排障处理
节点高负载排障处理
节点内存碎片化排障处理
集群 DNS 解析异常排障处理
集群 Kube-Proxy 异常排障处理
集群 API Server 网络无法访问排障处理
Service&Ingress 网络无法访问排障处理
Service&Ingress 常见报错和处理
Nginx Ingress 偶现 Connection Refused
CLB Ingress 创建报错排障处理
Pod 网络无法访问排查处理
Pod 状态异常与处理措施
授权腾讯云售后运维排障
CLB 回环问题
API 文档
History
Introduction
API Category
Making API Requests
Elastic Cluster APIs
Resource Reserved Coupon APIs
Cluster APIs
Third-party Node APIs
Relevant APIs for Addon
Network APIs
Node APIs
Node Pool APIs
TKE Edge Cluster APIs
Cloud Native Monitoring APIs
Scaling group APIs
Super Node APIs
Other APIs
Data Types
Error Codes
TKE API 2022-05-01
常见问题
TKE 标准集群
TKE Serverless 集群
运维类
隐患处理
服务类
镜像仓库类
远程终端类
事件类
资源管理类
服务协议
TKE Service Level Agreement
TKE Serverless Service Level Agreement
联系我们
词汇表
文档容器服务安全和稳定性身份验证和授权TKE Kubernetes 对象级权限控制授权模式对比

授权模式对比

PDF
聚焦模式
字号
最后更新时间: 2024-12-11 18:50:30
腾讯云容器服务 TKE 目前存在新旧两种授权模式,旧的授权模式无法进行 Kubernetes 级别的授权管理,建议您升级集群管理的授权模式,以便能够对集群内 Kubernetes 资源进行细粒度的权限控制。

新旧模式对比

对比项
旧模式
新模式
Kubeconfig
admin token
子账号独立的 x509 证书
控制台访问集群资源
无细粒度权限,子账号具备全读写权限
对接 Kubernetes RBAC 资源控制

存量集群授权模式升级操作

升级授权模式

若使用旧授权模式的集群需要升级时,请参考以下操作步骤进行升级:
1. 登录容器服务控制台,选择左侧导航栏中的 集群
2. 集群管理页面,选择需升级的集群 ID。
3. 在集群详情页面,选择左侧授权管理 > ClusterRole
4. ClusterRole 管理页面中,单击 RBAC 策略生成器
5. 在弹出的切换权限管理模式窗口中,单击切换权限管理模式即可进行授权模式升级。为确保新旧模式的兼容性,升级过程中会进行如下操作:
5.1 创建默认预设管理员 ClusterRole:tke:admin
5.2 拉取子账号列表。
5.3 为每个子账号生成可用于 Kubernetes APIServer 认证的 x509 客户端证书。
5.4 为每个子账号都绑定 tke:admin 角色(确保和存量功能兼容)。
5.5 升级完毕。

回收子账号权限

集群授权模式升级完毕后,集群管理员(通常为主账号管理员或创建集群的运维人员)可按需对具有该集群权限的子账号进行权限回收操作,步骤如下:
1. 选择集群授权管理下的菜单项,在对应的管理页面中单击 RBAC 策略生成器
2. 管理权限页面的“选择子账号”步骤中,勾选需回收权限的子账号并单击下一步。如下图所示:


3. 集群 RBAC 步骤中,设置权限。例如,“权限设置”选择为命名空间 “default” 下的“只读用户”。如下图所示:


4. 单击完成即可完成回收操作。

确认子账号权限

当完成子账号回收操作后,您可通过以下步骤进行确认:
1. 选择左侧的授权管理 > ClusterRoleBinding,进入 ClusterRoleBinding 管理页面。
2. 选择被回收权限的子账号名称,进入 YAML 文档页面。 子账号默认为 tke:admin 权限,回收对应权限后,可在 YAML 文件中查看变更。如下图所示:



新授权模式相关问题

在新授权模式下创建的集群,谁具备管理员 admin 权限?

集群的创建者及主账号始终具备 tke:admin ClusterRole 的权限。

当前使用账号是否可控制自身权限?

目前不支持通过控制台操作当前使用账号权限,如需进行相关操作,可通过 kubectl 完成。

是否可以直接操作 ClusterRoleBinding 及 ClusterRole?

请勿直接对 ClusterRoleBinding 及 ClusterRole 进行修改或删除等操作。

客户端证书是如何创建的?

当您使用子账号通过控制台访问集群资源时,TKE 会获取该子账号的客户端证书。若未获取到证书,则会为该子账号创建客户端证书。

在访问管理 CAM 中删除了子账号,相关权限会自动回收吗?

支持权限自动回收,您无需再进行相关操作。

如何授权其他账户“授权管理”的权限?

可使用默认管理员角色 tke:admin 进行“授权管理”的授权操作。
上一篇: 概述下一篇: 使用预设身份授权

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈