权限管理概述

容器服务权限管理包括 IAM 授权和 RBAC 授权。

IAM授权

IAM (Identity and Access Management) 是网宿云为客户提供的用户身份管理与资源访问控制服务，可以帮助您安全地控制对网宿云资源的访问。您可以使用 IAM 创建、管理 IAM 用户，控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。
详细功能请参考 IAM帮助文档
以下操作可通过 IAM 控制权限，子账号默认不分配任何操作权限。

Action	说明	对应资源
CreateCluster	创建集群	cluster
DeleteCluster	删除集群	cluster/名称
ListClusters	查看集群列表	cluster/名称
GetClusterDetails	查看集群详情	cluster/名称
OpenCms	激活云监控	cluster/名称
OpenLms	激活日志服务	cluster/名称
ScaleCluster	集群扩缩容	cluster/名称
ListRepository	查看本地仓库列表	repository/名称
ResetRepositoryPassword	本地仓库密码重置	repository/名称
CreateRepository	创建本地仓库	repository
ManageRepository	管理本地仓库	repository/名称
DeleteRepository	删除本地仓库	repository/名称
ListImages	查看镜像列表	image/repository/名称
DeleteImage	删除镜像	image/repository/名称
ListCharts	查看Chart列表	chart/名称
DeleteChart	删除Chart	chart/名称
CreateTemplates	创建模板	template
ListTemplates	查看模板列表	template/名称
ModifyTemplate	修改模板	template/名称
DeleteTemplate	删除模板	template/名称
RBACManage	权限管理	account/子账号名称
DeleteAppVersion	删除应用历史版本	cluster/应用名称

RBAC授权

k8s 集群通过RBAC 授权控制用户是否能够调用 Apiserver 访问 k8s 集群内资源，详细功能可参考Using RBAC Authorization。
以下角色为容器服务预置角色，也可通过自定义角色灵活控制子账号权限。

角色	权限
管理员	拥有所有命名空间下资源的读写权限，对节点、数据卷、命名空间、资源配额的读写权限
运维	拥有所有命名空间下控制台可查看资源的读写权限，对节点，数据卷，命名空间，资源配额的只读权限
读写权限	拥有所选命名空间下控制台可查看资源的读写权限
只读权限	拥有所选命名空间下控制台可查看资源的只读权限
自定义	权限为所选ClusterRole的权限

添加RBAC授权

进入集群管理下权限管理，选择子账号点击设置权限。

填加一条规则，选择集群、命名空间以及分配对应的权限。