为满足企业客户不同成员使用 TSF 平台的接口操作权限、资源操作权限的需求,当前腾讯微服务平台支持主账号为子账号灵活分配不同角色、不同数据集的权限。
操作场景
当前 TSF 可以支持以下几种场景的使用:
为子账号或协作者配置全部资源的全读写策略。
为子账号或协作者配置全部资源的部分操作权限,如可以为部分用户配置应用、微服务、配置的全读写策略,以及集群、命名空间的只读策略。
为子账号和协作者配置某些资源(一个或多个)的读或写权限,如可以为不同的子账号配置不同命名空间、不同应用的不可见、只读、全读写权限。
操作步骤
在子账号和协作者使用 TSF 平台之前,需要进行以下几个步骤:
1. 按照 访问管理 中,“子账号和协作者使用 TSF”部分文档进行操作,这一步保证了用户使用 TSF 时,TSF 访问 VPC、 TKE 等云资源的服务角色权限。
预设策略
TSF 提供了 QcloudTSFFullAccess 和 QcloudTSFReadOnlyAccess 两条预设策略。
策略名称 | 作用 |
QcloudTSFReadOnlyAccess | 只读策略,包含 TSF 全部集群、命名空间、应用、服务等资源的全部只读操作 |
QcloudTSFFullAccess | 全读写策略,包含 TSF 全部集群、命名空间、应用、服务等所有资源的全部操作 |
预设策略只限制用户操作,没有对数据进行过滤。当用户对数据过滤没有需求时,仅需绑定预设策略,无需进行上述使用步骤中的步骤2(步骤1还需要进行)。
说明
截止至2019年10月10日,TSF 现网所有子账号和协作者都默认绑定了 QcloudTSFFullAccess 权限,当用户需要精细化的配置操作和数据集权限时,需要解绑全读写策略 QcloudTSFFullAccess 并按照上述步骤2进行操作。
当为用户绑定了多条策略时,多条策略以白名单的形式取并集生效。
QcloudTSFReadOnlyAccess 相当于配置一条只读角色操作权限和全数据集权限。当主账号想要设置某子账号对某些资源不可见时,不要绑定 QcloudTSFReadOnlyAccess 策略。