Alauda Container Platform
  • 简体中文

    • 管理角色

    目录

    查看平台角色(只读)通过控制台授予用户平台角色通过 YAML 授予用户平台角色通过 YAML 查看和更新 Kubernetes 角色删除 Kubernetes 角色管理 RoleBindings从角色视角从用户或用户组视角最佳实践

    查看平台角色(只读)

    平台角色仍然是核心功能的权威模板。

    1. 在左侧导航栏中,点击 Users > Platform Roles
    2. 使用列表过滤器查找角色。Role Type 列现在显示 PlatformProjectNamespaceCluster
    3. 点击角色名称打开详情页面。
    4. 切换到 YAML 标签页查看精确定义。如需存档规范,可使用 Download YAML

    通过控制台授予用户平台角色

    1. 在左侧导航栏中,点击 Users > Platform Roles
    2. 点击角色名称打开详情页面。
    3. 切换到 Members 标签页。
    4. 点击 Import Members
    5. 你可以从平台中选择用户并导入到该角色作为成员。

    通过 YAML 授予用户平台角色

    你可以在 global 集群中提交以下 YAML,将特定平台角色授予某个用户。

    apiVersion: auth.alauda.io/v1
kind: UserBinding
metadata:
  annotations:
    auth.cpaas.io/role.display-name: Platform Admin         # 要分配的角色显示名称
    auth.cpaas.io/user.email: bxliu@alauda.io              # 要授予角色的用户名
  labels:
    auth.cpaas.io/role.display-name: ""                    # 要分配的角色显示名称
    auth.cpaas.io/role.level: platform                     # 角色作用域:platform、project、namespace 或 cluster
    auth.cpaas.io/role.name: acp-platform-admin            # 要分配的角色名称
    auth.cpaas.io/user.email: 569526aac97a17ce8c1c185d7544aae4  # 用户名的 MD5 哈希
    cpaas.io/cluster: ""                                   # 集群名称;当角色级别为 namespace 或 cluster 时必填,platform 或 project 时留空
    cpaas.io/namespace: ""                                 # 命名空间名称;当角色级别为 namespace 时必填,platform、project 或 cluster 时留空
    cpaas.io/project: ""                                   # 项目名称;当角色级别为 project 或 namespace 时必填,platform 或 cluster 时留空
  name: dc30204c17c7fe8b15383f4ed7798c88                   # UserBinding 资源名称,可自定义

    通过 YAML 查看和更新 Kubernetes 角色

    1. 进入 Users > Platform Roles > Kubernetes Roles
    2. 按名称或标签搜索。
    3. 点击角色名称,打开 YAML 标签页。
    4. 点击 Edit,修改清单(标签、注解或 rules),然后点击 Save
    5. 查看 RoleBindings 标签页,确保现有绑定仍符合预期。

    删除 Kubernetes 角色

    1. Kubernetes Roles 列表中,点击角色旁的更多菜单(…)。
    2. 选择 Delete Role
    3. 确认角色名称以继续。

    删除角色会将其从集群中移除。你还必须清理引用该角色的所有 RoleBindings。如果绑定仍存在,UI 会显示警告。

    管理 RoleBindings

    从角色视角

    1. Kubernetes Roles 标签页打开一个角色(Role 或 ClusterRole)。
    2. 切换到 RoleBindings 标签页。
    3. 使用搜索栏(支持名称和标签过滤)查找现有绑定。
    4. 操作:
      • Create RoleBindings:启动创建向导。
      • Update Role:打开角色本身的 YAML 编辑器。
      • Delete Binding:确认后删除 RoleBinding/ClusterRoleBinding。

    从用户或用户组视角

    1. 打开 Users(或 User Groups),选择目标条目。
    2. 切换到 Kubernetes Roles 标签页。
    3. 查看该用户/组在各集群中的所有 RoleBindings。
    4. 点击 Add RoleBinding,选择:
      • 集群
      • 绑定类型(RoleBinding/ClusterRoleBinding)
      • 角色/ClusterRole
      • 命名空间(针对 RoleBinding)
      • 主题详情
    5. 保存绑定。

    此流程补充了现有的 Platform Roles 标签页,后者仍用于将系统角色附加给用户。

    最佳实践

    • 使用预发布集群验证 YAML 变更,再应用到生产环境。
    • 将角色定义纳入版本控制(例如导出到 Git),以便变更可审计。
    • 对所需权限不确定时,可从系统角色的 YAML 入手,复制到本地,并通过新 UI 适配为 Kubernetes 角色。