Mengonfigurasi kontrol akses berbasis peran

Langkah-langkah berikut akan memandu Anda mengonfigurasi kontrol akses berbasis peran (RBAC) di Kf Space.

Sebelum memulai

Ikuti panduan GKE RBAC sebelum melanjutkan ke langkah-langkah berikut.

Mengonfigurasi Identity and Access Management (IAM)

Selain izin yang diberikan melalui Kf RBAC, pengguna, grup, atau akun layanan juga harus diautentikasi untuk melihat kumpulan GKE di level project. Persyaratan ini sama seperti persyaratan untuk mengonfigurasi GKE RBAC, yang berarti pengguna/grup harus memiliki setidaknya container.clusters.get izin IAM dalam project yang berisi cluster tersebut. Izin ini disertakan oleh peran container.clusterViewer, dan peran lainnya yang lebih dilindungi. Untuk informasi selengkapnya, tinjau Interaksi dengan Identity and Access Management.

Tetapkan container.clusterViewer ke pengguna atau grup.

gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --role="container.clusterViewer" \
  --member="${MEMBER}"

Contoh nilai anggota adalah:

  • user:test-user@gmail.com
  • group:admins@example.com
  • serviceAccount:test123@example.domain.com

Mengelola keanggotaan Ruang sebagai SpaceManager

Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menetapkan peran untuk pengguna, grup, atau akun layanan.

kf set-space-role MEMBER -t [Group|ServiceAccount|User]

Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menghapus anggota dari peran.

kf unset-space-role MEMBER -t [Group|ServiceAccount|User]

Anda dapat melihat anggota dan peran mereka dalam Ruang.

kf space-users

Contoh:

Tetapkan peran SpaceDeveloper kepada pengguna.

kf set-space-role alice@example.com SpaceDeveloper

Tetapkan peran SpaceDeveloper ke grup.

kf set-space-role devs@example.com SpaceDeveloper -t Group

Tetapkan peran SpaceDeveloper ke Akun Layanan.

kf set-space-role sa-dev@example.domain.com SpaceDeveloper -t ServiceAccount

Pengembangan aplikasi sebagai SpaceDeveloper

Anggota dengan peran SpaceDeveloper dapat melakukan operasi pengembangan Aplikasi Kf dalam Ruang.

Untuk mengirim Aplikasi:

kf push app_name -p [PATH_TO_APP_ROOT_DIRECTORY]

Untuk melihat log Aplikasi: posix-terminal kf logs app_name

SSH ke Pod Kubernetes yang menjalankan Aplikasi: posix-terminal kf ssh app_name

Lihat broker layanan yang tersedia:

kf marketplace

Melihat Aplikasi sebagai SpaceManager atau SpaceAuditor

Anggota dengan peran SpaceManager atau SpaceAuditor dapat melihat Aplikasi yang tersedia di dalam Ruang:

kf apps

Melihat Kf Spaces dalam cluster

Semua peran (SpaceManager, SpaceDeveloper, dan SpaceAuditor) dapat melihat Kf Spaces yang tersedia dalam cluster:

kf spaces

Melihat anggota Ruang dan peran mereka dalam Ruang.

kf space-users

Tanda peniruan identitas

Untuk memverifikasi izin anggota, anggota dengan izin yang lebih dilindungi hak istimewa dapat menguji izin anggota lain menggunakan tanda peniruan identitas: --as dan --as-group.

Misalnya, sebagai admin cluster, Anda dapat memverifikasi apakah pengguna (username: bob) memiliki izin untuk mengirim Aplikasi.

kf push APP_NAME --as bob

Pastikan grup (manager-group@example.com) memiliki izin untuk menetapkan izin ke anggota lain.

kf set-space-role bob SpaceDeveloper --as-group manager-group@example.com