Mengonfigurasi kontrol akses berbasis peran

Langkah-langkah berikut akan memandu Anda mengonfigurasi kontrol akses berbasis peran (RBAC) di Ruang Kf.

Sebelum memulai

Ikuti panduan RBAC GKE sebelum melanjutkan ke langkah-langkah berikut.

Mengonfigurasi Identity and Access Management (IAM)

Selain izin yang diberikan melalui RBAC Kf, pengguna, grup, atau akun layanan juga harus diautentikasi untuk melihat cluster GKE di tingkat project. Persyaratan ini sama dengan persyaratan untuk mengonfigurasi RBAC GKE, yang berarti pengguna/grup harus memiliki setidaknya izin IAM container.clusters.get dalam project yang berisi cluster. Izin ini disertakan oleh peran container.clusterViewer, dan peran lain dengan hak istimewa yang lebih tinggi. Untuk informasi selengkapnya, tinjau Interaksi dengan Identity and Access Management.

Tetapkan container.clusterViewer ke pengguna atau grup.

gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --role="container.clusterViewer" \
  --member="${MEMBER}"

Contoh nilai anggota adalah:

  • user:test-user@gmail.com
  • group:admins@example.com
  • serviceAccount:test123@example.domain.com

Mengelola keanggotaan Ruang sebagai SpaceManager

Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menetapkan peran ke pengguna, grup, atau akun layanan.

kf set-space-role MEMBER -t [Group|ServiceAccount|User]

Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menghapus anggota dari peran.

kf unset-space-role MEMBER -t [Group|ServiceAccount|User]

Anda dapat melihat anggota dan perannya dalam Ruang.

kf space-users

Contoh

Tetapkan peran SpaceDeveloper kepada pengguna.

kf set-space-role alice@example.com SpaceDeveloper

Tetapkan peran SpaceDeveloper ke grup.

kf set-space-role devs@example.com SpaceDeveloper -t Group

Tetapkan peran SpaceDeveloper ke Akun Layanan.

kf set-space-role sa-dev@example.domain.com SpaceDeveloper -t ServiceAccount

Pengembangan aplikasi sebagai SpaceDeveloper

Anggota dengan peran SpaceDeveloper dapat melakukan operasi pengembangan Aplikasi Kf dalam Ruang.

Untuk mengirim Aplikasi:

kf push app_name -p [PATH_TO_APP_ROOT_DIRECTORY]

Untuk melihat log Aplikasi: posix-terminal kf logs app_name

SSH ke Pod Kubernetes yang menjalankan Aplikasi: posix-terminal kf ssh app_name

Lihat perantara layanan yang tersedia:

kf marketplace

Melihat Aplikasi sebagai SpaceManager atau SpaceAuditor

Anggota dengan peran SpaceManager atau SpaceAuditor dapat melihat Aplikasi yang tersedia dalam Ruang:

kf apps

Melihat Ruang Kf dalam cluster

Semua peran (SpaceManager, SpaceDeveloper, dan SpaceAuditor) dapat melihat Ruang Kf yang tersedia dalam cluster:

kf spaces

Melihat anggota Ruang dan perannya dalam Ruang.

kf space-users

Tanda peniruan identitas

Untuk memverifikasi izin anggota, anggota dengan izin yang lebih istimewa dapat menguji izin anggota lain menggunakan tanda peniruan identitas: --as dan --as-group.

Misalnya, sebagai admin cluster, Anda dapat memverifikasi apakah pengguna (nama pengguna: bob) memiliki izin untuk mendorong Aplikasi.

kf push APP_NAME --as bob

Pastikan grup (manager-group@example.com) memiliki izin untuk menetapkan izin kepada anggota lain.

kf set-space-role bob SpaceDeveloper --as-group manager-group@example.com