服務網格ASM實例的授權分為RAM授權和RBAC授權兩部分。本文介紹這兩種授權的內容以及如何進行授權。
服務網格產品授權
如果您想要完整地使用服務網格ASM的各項能力,您必須為ASM授權,使其能夠訪問您的其他云產品,例如ASM需要訪問日志服務為您創建審計日志Project和LogStore,您才能使用日志服務采集數據平面的AccessLog。ASM通過服務關聯角色獲取相應的云產品權限,您需要創建服務關聯角色,完成對服務網格產品的授權。具體操作,請參見管理ASM服務關聯角色。
RAM用戶授權
通過RAM用戶使用服務網格時涉及RAM權限和RBAC權限,您需要根據需求為RAM用戶針對這兩種權限分別進行授權。
RAM授權
在企業對接RAM的賬號系統中,運維人員通過RAM用戶(即子賬號)管理云服務資源是一個常見場景。然而默認情況下RAM用戶沒有使用云服務OpenAPI的任何權限,為了保證RAM用戶的正常使用,需要對RAM用戶授權。
您可以通過授予RAM用戶OpenAPI的權限,控制RAM用戶ASM控制臺操作的權限和OpenAPI操作的權限,實現細粒度的云資源訪問控制。更多信息,請參見為RAM用戶和RAM角色授權。
RBAC授權
RBAC授權是網格維度的權限控制,用于控制RAM用戶ASM自定義資源(例如虛擬服務、目標規則等)的操作權限,一個RAM用戶對不同的網格實例可以有不同的RBAC權限。
ASM內置了以下四種角色,分別對應不同的RBAC權限。您可以通過ASM控制臺給RAM用戶授予以下預置角色。
角色 | 集群內RBAC權限 |
網格管理人員 | 對所有命名空間下所有ASM的自定義資源的讀寫權限。 |
Istio資源管理人員 | 對所有命名空間或所選命名空間下除ASM網關(IstioGateway)之外的資源擁有讀寫權限。 |
網格管理受限人員 | 對所有命名空間或所選命名空間下控制臺可見資源(即ASM的自定義資源)的只讀權限。 |
無權限 | 對所有命名空間下所有資源(即ASM的自定義資源)沒有任何讀寫權限。 |
為RAM用戶授權
在RAM控制臺創建RAM用戶。具體操作,請參見創建RAM用戶。
根據需要授予RAM用戶相應的RBAC權限。具體操作,請參見授予RAM用戶和RAM角色RBAC權限。
根據需要授予RAM用戶相應的RAM策略。具體操作,請參見為RAM用戶和RAM角色授權。