控制用户权限

本节介绍如何创建用户,并使用企业空间、项目和角色控制用户的访问权限。有关用户权限控制的更多信息,请参阅用户和角色管理

作为多租户系统,KubeSphere 支持在平台、集群、企业空间和项目级别基于角色对用户的权限进行控制,实现逻辑层面的资源隔离。

前提条件

您需要准备一个 Kubernetes 集群,并已安装 KubeSphere。

创建用户

  1. 使用默认用户 admin 和密码 P@88w0rd 登录 KubeSphere Web 控制台。

    说明

    为了您的账户安全,首次登录时系统会提示您修改密码。密码修改后,后续请使用新密码登录。

  2. 点击用户和角色管理

  3. 在左侧导航栏,选择用户

  4. 在用户列表页面,点击创建

  5. 创建用户对话框,输入以下必填参数:

    • 用户名:用户的名称。

    • 邮箱:用户的邮箱地址。

    • 密码:用户的密码。

  6. 点击确定。用户创建后将显示在用户列表中。

创建企业空间

  1. 登录 KubeSphere Web 控制台。

  2. 点击企业空间管理,点击创建

  3. 创建企业空间基本信息页面,输入企业空间的名称(例如 demo-workspace)。

    说明

    对于多集群环境,设置企业空间的基本信息后,点击下一步。在集群设置页面,选择企业空间需要使用的集群。

  4. 点击确定。企业空间创建后将显示在企业空间列表中。

创建企业空间角色

  1. 在企业空间列表页面,点击企业空间的名称 demo-workspace 进入该企业空间。

  2. 在左侧导航栏,选择企业空间设置 > 企业空间角色

    企业空间角色列表页面默认列出以下四个内置角色。

    角色描述

    workspace-viewer

    企业空间观察员,可以查看企业空间中的所有资源。

    workspace-self-provisioner

    企业空间普通成员,可以查看企业空间设置、管理应用模板、创建项目。

    workspace-regular

    企业空间普通成员,可以查看企业空间设置。

    workspace-admin

    企业空间管理员,可以管理企业空间中的所有资源。

    说明

    企业空间内置角色的名称以 <企业空间名称>-<角色名称> 格式显示。例如,在名称为 demo-workspace 的企业空间中,角色 admin 的实际角色名称为 demo-workspace-admin

  3. 在企业空间角色列表页面,点击创建

  4. 创建企业空间角色对话框,输入名称,然后点击编辑权限继续。

  5. 编辑权限对话框,权限归类在不同的功能模块下。

    在本示例中,点击项目管理,并为该角色选择项目创建项目管理项目查看

    说明

    依赖于表示当前授权项依赖所列出的授权项,勾选该权限后系统会自动选上所有依赖权限。

  6. 点击确定。新创建的角色将显示在企业空间角色列表中。

邀请用户到企业空间

  1. 在左侧导航栏,选择企业空间设置 > 企业空间成员

  2. 在企业空间成员列表页面,点击邀请

  3. 邀请成员对话框,点击用户右侧的add并为用户分配在当前企业空间中的角色。

  4. 点击确定。用户被邀请后将显示在企业空间成员列表中。

创建项目

  1. 在左侧导航栏,选择项目

  2. 项目页签,点击创建

  3. 创建项目对话框,输入项目的名称(例如 demo-project)。

    说明

    对于多集群环境,您需要选择要创建项目的集群。

  4. 点击确定。项目创建后将显示在项目列表中。

创建项目角色

  1. 项目页签,点击项目的名称 demo-project 进入该项目。

  2. 在左侧导航栏,选择项目设置 > 项目角色

    项目角色页面默认列出以下三个内置角色。

    角色描述

    viewer

    项目观察员,可以查看项目中的所有资源。

    operator

    项目管理员,可以管理项目中除用户和角色之外的资源。

    admin

    项目管理员,可以管理项目中的所有资源。

  3. 在项目角色列表页面,点击创建

  4. 创建角色对话框,输入名称,然后点击编辑权限继续。

  5. 编辑权限对话框,权限归类在不同的功能模块下。

    在本示例中,点击访问控制,并为该角色选择成员查看角色查看

    说明

    依赖于表示当前授权项依赖所列出的授权项,勾选该权限后系统会自动选上所有依赖权限。

  6. 点击确定。新创建的角色将显示在项目角色列表中。

邀请用户到项目

  1. 在左侧导航栏,选择项目设置 > 项目成员

  2. 在项目成员列表页面,点击邀请

  3. 邀请成员对话框,点击用户右侧的add并为用户分配在当前项目中的角色。

  4. 点击确定。用户被邀请后将显示在项目成员列表中。