存取權控管總覽

當您建立 Google Cloud Platform (GCP) 專案時,您是專案的唯一使用者。根據預設,其他使用者都不能存取您的專案或專案資源 (包括 Google Kubernetes Engine 資源),除非您在專案中將其他使用者新增為團隊成員授予角色。本頁說明如何為您的 GKE 資源設定存取權控管。

存取權控管選項

您可以使用以下兩項存取權控管功能來保護您的專案、叢集和資料:Google Cloud Identity & Access Management (Cloud IAM)Kubernetes 以角色為基礎的存取控管 (RBAC)

Cloud IAM 是 GCP 的存取權控管系統,用於管理 GCP 資源的驗證和授權。您可以使用 Cloud IAM 授予使用者 GKE 和 Kubernetes 資源的存取權。

Kubernetes 的 RBAC 系統會針對叢集中的特定資源和操作,授予精細的權限。

Cloud IAM

Cloud IAM 提供的角色可用來管理專案和 GCP 資源的存取權。新增使用者到您的專案之後,請指派角色給這些使用者,以授予使用者在您的專案和叢集執行操作的權限。您可以指派原始預先定義的角色。也可以建立自訂角色以用於測試。

此外,您可使用 Cloud IAM 建立並設定服務帳戶。服務帳戶是與您的專案關聯的 Google 帳戶,可代您執行工作。您必須為服務帳戶指派角色和權限,指派方式與指派人類使用者的角色和權限相同。

如要進一步瞭解,請參閱建立 Cloud IAM 政策

Kubernetes RBAC

Kubernetes RBAC 可讓您使用 Kubernetes 原生存取權控管 API 來建立角色,在叢集或命名空間層級為 Kubernetes 資源和操作提供精細的權限。建立角色之後,接著建立角色繫結,以便將角色指派給使用者和 Kubernetes 服務帳戶。

如果您已熟悉 Kubernetes 內部的存取權控管機制,並且想以橫跨各雲端的方式管理存取權,Kubernetes RBAC 就很實用。

詳情請參閱以角色為基礎的存取權控管說明文件。

我該用 Cloud IAM 還是 RBAC?

評估您的存取權控管需求時,請思考哪種類型的存取權控管最適合您:

  • 使用 GCP 的 Cloud IAM,利用原始角色、預先定義的角色或自訂角色,授予資源和作業的存取權。您可以在專案和叢集層級指派角色,並在同一位置集中管理 GCP、GKE 和 Kubernetes 的權限。

  • 使用 RBAC,在叢集和命名空間層級設定精細的 Kubernetes 資源和操作存取權。由於 RBAC 是 Kubernetes 原生授權系統,所以能跨叢集在不同的雲端和內部部署環境中以相同的方式控管權限。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Kubernetes Engine 說明文件