Управление доступом в Managed Kubernetes
Уровень доступа пользователей Managed Kubernetes к ресурсам проектов определяется назначенными ролями.
Для работы с Managed Kubernetes пользователю должна быть назначена одна из сервисных ролей:
k8s.admin
k8s.user
Доступные операции
Список доступных операций в Managed Kubernetes для каждой роли описан в таблице.
Действия |
Роль Managed Kubernetes |
|
|---|---|---|
k8s.admin |
k8s.user |
|
Создание, изменение настроек и удаление кластера |
|
|
Создание, изменение настроек и удаление группы узлов |
|
|
Установка плагинов |
|
|
Остановка кластера |
|
|
Просмотр списка кластеров |
|
|
Просмотр информации о кластере, группе узлов, установленных плагинах |
|
|
Просмотр информации о состоянии кластера |
|
|
Просмотр истории задач |
|
|
Получение kubeconfig |
|
|
Подключение к кластеру |
|
|
Развертывание приложений |
|
|
Соотношение ролей Managed Kubernetes и кластерных ролей Kubernetes
В таблице указано соответствие сервисных ролей Managed Kubernetes кластерным ролям Kubernetes.
Сервисная роль Managed Kubernetes |
Кластерная роль Kubernetes |
|---|---|
k8s.admin |
cluster-admin |
k8s.user |
view |
Подробнее о ролях cluster-admin и view читайте в документации Kubernetes.
Роли на отдельные действия в кластере
Пользователь с ролью k8s.user в Managed Kubernetes может подключиться к кластеру и получать информацию о его ресурсах. По умолчанию создавать ресурсы, например Deployment, Secret, StatefulSet, или удалять их такой пользователь не может.
Разрешить создавать или удалять ресурсы в кластере можно одним из способов:
Назначить пользователю необходимую кластерную роль для определенного пространства имен или на все пространства имен в кластере.
Добавить пользователя в IAM-группу и разрешить группе создание или удаление ресурсов.
- Доступные операции
- Соотношение ролей Managed Kubernetes и кластерных ролей Kubernetes
- Роли на отдельные действия в кластере