默认情况下,子账号不具备 CAM 的权限,非集群创建者的子账号不具备相关集群 RBAC 的权限。您需要创建关联 CAM 策略和 TKE RBAC 授权策略来允许子账号访问或正常使用他们所需要的服务网格资源。
CAM 权限策略的编辑和授予是由 CAM 管理员(通常是主账号或拥有 CAM 权限的子账号)完成,更多关于 CAM 策略的基本信息,请参见 CAM 策略。TKE 集群的 RBAC 权限策略的编辑和授予通常是由相应集群管理员(通常是主账号或集群创建账号)完成,授权方式参见 TKE RBAC 授权。
说明:
若您不需要对子账户进行 TCM 相关资源的访问管理,您可以跳过此章节,跳过这些部分不会影响您对文档中其余部分的理解和使用。
TCM 基于 CAM 的权限控制
当前 TCM 支持基于 CAM 的资源级的权限控制,即能够允许指定子账号对指定资源的指定操作。子账号默认没有 TCM 相关 CAM 权限,您需要将策略关联至子账号完成授权。
当前 TCM 基于 CAM 的资源级权限控制颗粒度可达到网格实例级别,即您可以控制指定子账号对指定网格能够执行指定的操作。
TCM 相关产品 TKE 的 RBAC 权限管理
使用 TCM 过程中,会涉及到对 TCM 管理的 TKE 集群内 Kubernetes 资源的读写操作,这些操作需要有足够的 TKE RBAC 权限。默认非集群创建者的子账号没有该集群的 RBAC 权限,需要集群管理员授予该子账号对应集群的 RBAC 权限,子账号才能正常使用 TCM。
在所选集群创建/删除/更新服务网格、添加/解关联服务发现集群、在所选集群创建/删除 Ingress Gateway 网关均需要相应集群的管理员(tke:admin)权限。对网格内 Istio 资源(Gateway,VirtualService,DestinationRule,ServiceEntry 等)的操作不需要集群的 RBAC 权限。
