介绍
目录
角色介绍
平台的用户角色管理基于 Kubernetes RBAC(基于角色的访问控制)实现。自 ACP 4.2 起,该模型被拆分为两个互补的层级:
- 平台角色:系统提供的模板,保障核心产品场景。它们在 UI 中为只读状态;您只能为用户和组绑定或解绑这些角色。
- Kubernetes 角色:原生 Kubernetes 的
Role和ClusterRole对象,您可以针对每个集群创建以满足定制的权限需求。这些角色在 Kubernetes Roles 页面进行管理,并通过 RoleBinding/ClusterRoleBinding 进行绑定。
这两个层级最终都会转换为 Kubernetes 权限。分配或移除角色会立即授予或撤销对目标资源的相关操作权限(创建、查看、更新、删除等)。
系统角色
为了满足常见的权限配置场景,平台提供了以下默认系统角色。这些角色支持对平台资源的灵活访问控制和对用户的高效权限管理。
| 角色名称 | 描述 | 角色层级 |
|---|---|---|
| Platform Administrator | 拥有对平台上所有业务和资源的完全访问权限 | Platform |
| Platform Auditors | 可查看所有平台资源和操作记录,但无其他权限 | Platform |
| Cluster Administrator (Alpha) | 管理和维护集群资源,拥有对所有集群级资源的完全访问权限 | Cluster |
| Project Administrator | 管理命名空间管理员和命名空间配额 | Project |
| namespace-admin-system | 管理命名空间成员和角色分配 | Namespace |
| Developers | 在命名空间内开发、部署和维护自定义应用 | Namespace |
自定义权限
已移除传统的“基于复选框”的自定义角色创建体验。要实现新的授权场景,您必须:
- 使用 Kubernetes Roles 页面在目标集群中创建原生角色(Role/ClusterRole),或
- 向所属插件团队申请角色模板,并通过 RoleBinding/ClusterRoleBinding 进行绑定。
WARNING
删除或编辑原生角色会影响所有引用该角色的 RoleBinding/ClusterRoleBinding。请务必审查现有绑定,并在可能的情况下在预发布环境中验证更改。