IAM 角色和操作
Red Hat OpenShift on IBM Cloud 配置为使用 IBM Cloud® Identity and Access Management 角色来确定用户可以在 Red Hat OpenShift on IBM Cloud 集群,工作程序节点和 Ingress 应用程序负载均衡器 (ALB) 上执行的操作。
查看下表以获取平台和服务角色及其关联操作的列表。
{{../account/iam-service-roles.md#containers-kubernetes-roles}}
有关所有 IBM 服务及其关联角色和操作的列表,请参阅 IAM 角色和操作。 有关设置帐户和资源的更多信息,请参阅 组织用户,团队和应用程序的最佳实践。
- 平台访问角色
- 通过平台访问角色,用户可以管理资源,例如集群,工作程序池,工作程序节点和附加组件。 平台访问角色允许的操作包括创建或删除集群、将服务绑定到集群、管理网络和存储资源或添加额外的工作节点。 您可以按资源组、区域或集群实例为这些角色设置策略。 您无法在集群中按命名空间查看平台访问角色。 平台访问角色不会授予对 Kubernetes API 的访问权,以管理集群中的资源,例如 Kubernetes pod,名称空间或服务。
- 服务访问角色
- 使用服务访问角色来授予用户访问权,以管理 Red Hat OpenShift on IBM Cloud 集群中的 Kubernetes 资源。 服务访问角色与集群中相应的 Kubernetes RBAC 策略 同步。 因此,服务访问角色将授予对 Kubernetes API,仪表板和 CLI (
oc) 的访问权。服务访问角色允许的示例操作包括创建应用程序部署,添加名称空间或设置配置映射。 您可以按资源组、区域或集群实例来确定服务访问角色的权限范围。 此外,您还可以将服务访问角色的作用域限定为特定区域中所有集群,个别集群或集群中的 Kubernetes 名称空间。
创建集群的权限
查看创建集群所需的以下许可权,包括您可能使用的其他集成和服务所需的许可权。
| 服务或资源组 | 角色 | 作用域 | 必需? |
|---|---|---|---|
| Kubernetes Service |
|
要在其中创建集群的资源组。 | 是 |
| Container Registry | 管理员平台访问权限。 | 单个实例或所有实例。 不要将 IBM Cloud Container Registry 的策略限制为资源组级别。 | 是 |
| IBM Cloud Object Storage | 管理员平台访问权限角色 | 单个实例或所有实例。 | 是 |
| Secrets Manager |
|
所有资源组 | 如果计划使用 Secrets Manager 进行加密,那么此参数是必需的。 |
| 资源组许可权 |
|
要在其中创建集群的资源组。 | 是 |
| IAM Identity Service |
|
要在其中创建集群的资源组。 | 是 |
| Key Protect | 管理员平台访问权限。 | 要使用的所有实例或特定实例。 | 如果计划使用 Key Protect 进行加密,那么此属性是必需的。 |
| Hyper Protect Crypto Services | 管理员平台访问权限。 | 要使用的所有实例或特定实例。 | 如果计划使用 Hyper Protect Crypto Services 进行加密,那么为必需。 |
| 经典基础结构 | 超级用户 角色。 更多信息,请参阅 经典基础设施角色。 | 不适用 | 是 |
| VPC 基础架构 | VPC 基础架构 的 管理员 平台访问角色。 | 要使用的所有实例或特定实例。 | 是 |
请考虑将先前表中概述的许可权另存为定制 IAM 角色。 通过这种方式,您可以将用户分配到定制角色,而不是分配每个单独的服务。 有关更多信息,请参阅以下示例定制角色或 创建定制角色 的 IAM 文档。
定制 IAM 角色示例
下表提供了一些示例用例以及这些用例的相应 IAM 角色。 您可以使用这些示例或创建自己的定制角色。 有关更多信息,请参阅 创建定制角色。
| 定制角色示例 | 许可权 |
|---|---|
| 应用程序审计员 |
|
| 应用程序开发者 | -集群的编辑者平台访问角色。 -作用域限定为名称空间的写入者服务访问角色。 |
| 计费 | 查看器平台对集群、区域或资源组的访问权限。 |
| 集群管理员 | -集群的 管理员 平台访问角色。 -整个集群的 管理者 服务访问角色 (未限定为名称空间)。 |
| DevOps 操作员 | -集群的 操作员 平台访问角色。 -整个集群的 写程序 服务访问角色 (未限定为名称空间)。 |
| 操作员或站点可靠性工程师 |
|
经典基础架构角色
具有超级用户基础设施访问权限的用户可以为区域和资源组设置API密钥,以便执行基础设施操作。
账户中的其他用户可以通过访问 IBM Cloud IAM平台角色来执行基础设施操作。
仅当您无法将超级用户分配给设置API密钥的用户时,才可使用下表自定义经典基础设施权限。 有关分配许可权的指示信息,请参阅定制基础架构许可权。
必需的经典基础架构许可权
| 许可权 | 描述 |
|---|---|
| IPMI 远程管理 | 管理工作程序节点。 |
| 添加服务器 | 添加工作程序节点。
注:对于具有公共 IP 地址的工作程序节点,您还需要网络类别中的添加使用公用网络端口的计算许可权。 |
| 取消服务器 | 删除工作程序节点。 |
| 操作系统重装和急救内核 | 更新、重新引导和重新装入工作程序节点。 |
| 查看虚拟服务器详细信息 | 集群具有 VM 工作程序节点时为必需。 列出并获取 VM 工作程序节点的详细信息。 |
| 查看硬件详细信息 | 集群具有裸机工作程序节点时为必需。 列出并获取裸机工作程序节点的详细信息。 |
| 添加支持案例 | 在自动创建集群的过程中,会打开支持案例来供应集群基础架构。 |
| 编辑支持案例 | 在自动创建集群的过程中,会更新支持案例来供应集群基础架构。 |
| 查看支持案例 | 在自动创建集群的过程中,会使用支持案例来供应集群基础架构。 |
建议的经典基础架构许可权
| 许可权 | 描述 |
|---|---|
| 自动虚拟服务器访问权 | 访问所有工作程序节点。 |
| 自动 Bare Metal Server 访问权 | 指定对所有裸机工作程序节点的访问权。 如果没有此许可权,创建一个集群的用户可能无法查看另一个集群的裸机工作程序节点,即使用户对这两个集群都具有 IAM 访问权。 |
| 使用公用网络端口添加计算 | 允许工作程序节点具有可在公用网络上访问的端口。 |
| 管理 DNS | 设置公共负载均衡器或 Ingress 联网以公开应用程序。 |
| 编辑主机名/域 | 设置公共负载均衡器或 Ingress 联网以公开应用程序。 |
| 添加 IP 地址 | 向用于集群负载均衡的公用或专用子网添加 IP 地址。 |
| 管理网络子网路由 | 管理用于集群负载均衡的公用和专用 VLAN 和子网。 |
| 管理端口控制 | 管理用于应用程序负载均衡的端口。 |
| 管理证书 (SSL) | 设置用于集群负载均衡的证书。 |
| 查看证书 (SSL) | 设置用于集群负载均衡的证书。 |
| 添加/升级存储器 (存储层) | 创建 IBM Cloud File Storage 或 Block Storage 实例,以作为卷连接到应用程序用于持久存储数据。 |
| 存储管理 | 管理作为卷连接到应用程序用于持久存储数据的 IBM Cloud File Storage 或 Block Storage 实例。 |