动态与公告

产品动态

公告

产品发布记录

产品简介

产品概述

产品优势

产品架构

应用场景

产品功能

基本概念

原生 Kubernetes 名词对照

容器服务高危操作

地域和可用区

开源组件

购买指南

购买指引

购买 TKE 标准集群

购买原生节点

购买超级节点

快速入门

新手指引

快速创建一个标准集群

入门示例

容器应用部署 Check List

集群配置

标准集群概述

集群管理

网络管理

存储管理

节点管理

GPU 资源管理

远程终端

应用配置

工作负载管理

服务和配置管理

组件和应用管理

弹性伸缩

容器登录方式

可观测配置

运维可观测性

成本洞察和优化

调度配置

调度组件概述

资源利用率优化调度

业务优先级保障调度

Qos 感知调度

安全和稳定性

容器服务安全组设置

身份验证和授权

应用安全

多集群管理

计划升级

备份中心

云原生服务指南

云原生 etcd

Prometheus 监控服务

TKE Serverless 集群指南

TKE 注册集群指南

实践教程

集群

Serverless 集群

调度

安全

服务部署

网络

发布

日志

监控

运维

Terraform

DevOps

弹性伸缩

容器化

微服务

成本管理

混合云

故障处理

节点磁盘爆满排障处理

节点高负载排障处理

节点内存碎片化排障处理

集群 DNS 解析异常排障处理

集群 Kube-Proxy 异常排障处理

集群 API Server 网络无法访问排障处理

Service&Ingress 网络无法访问排障处理

Service&Ingress 常见报错和处理

Nginx Ingress 偶现 Connection Refused

CLB Ingress 创建报错排障处理

Pod 网络无法访问排查处理

Pod 状态异常与处理措施

授权腾讯云售后运维排障

CLB 回环问题

API 文档

History

Introduction

API Category

Making API Requests

Elastic Cluster APIs

Resource Reserved Coupon APIs

Cluster APIs

Third-party Node APIs

Relevant APIs for Addon

Network APIs

Node APIs

Node Pool APIs

TKE Edge Cluster APIs

Cloud Native Monitoring APIs

Scaling group APIs

Super Node APIs

Other APIs

Data Types

Error Codes

TKE API 2022-05-01

常见问题

TKE 标准集群

TKE Serverless 集群

运维类

隐患处理

服务类

镜像仓库类

远程终端类

事件类

资源管理类

服务协议

TKE Service Level Agreement

TKE Serverless Service Level Agreement

联系我们

词汇表

UserGroupAccessControl 说明

PDF

聚焦模式

字号

最后更新时间： 2023-08-01 17:07:02

简介
组件介绍
UserGroupAccessControl 用户组访问控制组件，支持将 Kubernetes RBAC 权限管理机制对接腾讯云 CAM 用户组，便于对子账号进行细粒度的访问权限控制。
部署在集群内的 Kubernetes 对象
kubernetes 对象名称
类型
资源量
Namespaces
user-group-access-control
ServiceAccount
-
kube-system
user-group-access-control
ClusterRole
-
kube-system
user-group-access-control
ClusterRoleBinding
-
kube-system
user-group-access-control
Service
-
kube-system
user-group-access-control
ConfigMap
-
kube-system
user-group-access-control
Deployment
0.5C1G（针对新建）
kube-system
使用场景
CAM 用户组是多个相同职能的用户（子账号）的集合，可以实现批量的授权、设置订阅消息等功能，本组件适用于需要在 TKE 标准集群中为职能相同的子账号快速设置相同的 Kubernetes 对象访问权限场景。
限制条件
K8S 集群版本 >= 1.16
操作步骤
说明：
如果您需要使用 UserGroupAccessControl 组件，请通过 提交工单 申请开通。
步骤1：新建用户组
您需要在访问管理 CAM 服务中完成用户组创建，操作详情请参见 新建用户组。若您已有用户组，可跳过此步骤。
步骤2：安装组件
1. 登录 容器服务控制台，选择左侧导航栏中的集群。
2. 在集群管理页面，单击目标集群 ID，进入集群详情页。
3. 选择左侧导航中的组件管理，在组件管理页面中单击新建。
4. 在新建组件页面，选择认证授权模块，勾选 UserGroupAccessControl 组件。
5. 单击服务授权。为让容器服务可以读取到您账号下的用户组信息，需要您在组件安装时完成角色 “TKE_QCSRole” 关联预设策略 “QcloudAccessForTKERoleInGroupsForUser” 的引导授权。
在服务授权页面中，确认角色名称和授权策略，单击同意授权。
6. 返回新建组件页面，单击完成。组件创建完成后，您可以在组件管理页面查看组件详情。
步骤3：为用户组创建角色并绑定策略
1. 选择左侧导航栏中的授权管理 > ClusterRole，在 ClusterRole 页面单击 RBAC 策略生成器。
2. 在新建 ClusterRole 中，账号类型选择用户组，并勾选用户组。
3. 单击下一步。在集群 RBAC 设置中，为指定用户组设置 Kubernetes 对象资源权限。
4. 单击完成。
步骤4：查看角色绑定策略
选择左侧导航栏中的授权管理 > ClusterRoleBinding，在 ClusterRoleBinding 中查看以用户组 ID 命名开头的权限策略信息。
说明：
若您需要变更腾讯云资源的操作权限，如组内子账号迁移、增加/删除云产品的操作权限，您仅需在 CAM 侧的用户组进行修改，权限变更的结果会在您创建的角色绑定策略中即时生效。操作详情请参见 为用户组添加/移除用户。
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

kubernetes 对象名称	类型	资源量	Namespaces
user-group-access-control	ServiceAccount	-	kube-system
user-group-access-control	ClusterRole	-	kube-system
user-group-access-control	ClusterRoleBinding	-	kube-system
user-group-access-control	Service	-	kube-system
user-group-access-control	ConfigMap	-	kube-system
user-group-access-control	Deployment	0.5C1G（针对新建）	kube-system

tencent cloud

容器服务

UserGroupAccessControl 说明

简介

组件介绍

部署在集群内的 Kubernetes 对象

使用场景

限制条件

操作步骤

步骤1：新建用户组

步骤2：安装组件

步骤3：为用户组创建角色并绑定策略

步骤4：查看角色绑定策略

帮助和支持