RBAC 访问控制方法

  RBAC (Role-Base Access Control,基于角色的访问控制) 是一种新型、灵活切使用广泛的访问控制机制,它将权限授予”角色” (role) 之上。
  在RBAC中,用户(User)就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主题(Subject).角色是指一个组织或任务重的工作或者位置,它代表了一种权利、资格和责任。许可(Permission)就是比允许对一个或多个课题(Object)执行的操作。一个用户可授权拥有多个不同的角色,一个角色可由多个用户构成;每个角色可拥有多种许可,每个许可也可授权给多个不同的角色。每个操作可施加于多个客体(受控对象),每个客体也可以接受多个操作。RBAC中的动作、主体及客体。

RBAC授权插件

  RBAC是一种操作授权机制,用于界定谁(Subject)可以或不可以操作(verb)。动作的触发者即“主体”,通常以“账号”为载体,它既可以是常规用户(User Account),也可以是服务账号(Service Account)。“操作”(verb)用于报名要执行的具体操作,包括创建、删除、修改、查看等等等。

RBAC授权插件支持RoleClusterRole两类角色。要使用两种授权还需要用到RoleBindingClusterRoleBinding两种资源

Role:作用于名称空间
ClusterRole:作用于整体集群。它的权限可以包含Role。
RoleBinding:用于将Role中定义的许可权限绑定在一个或一组用户上
clusterRoleBinding:用于将ClusterRole中定义的许可权限绑定在一个或一组用户上

文档更新时间: 2019-07-29 22:08   作者:张尚