本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

基于角色的访问控制

Rancher-Istio 自 Rancher v2.12.0 起已被弃用；请转向 SUSE 应用程序集合版本的 Istio，以获得增强的安全性（包含在 SUSE Rancher Prime 订阅中）。详细信息可以在此公告中找到。

本节描述了访问 Istio 功能所需的权限。

rancher istio 图表安装了三个 ClusterRoles

集群管理员访问权限

默认情况下，只有拥有 cluster-admin ClusterRole 的用户可以：

在集群中安装 Istio APP
为 Istio 配置资源分配

管理员和编辑访问权限

默认情况下，只有管理员和编辑角色可以：

为命名空间启用和禁用 Istio sidecar 自动注入
将 Istio sidecar 添加到工作负载
查看集群的流量指标和流量图
配置 Istio 的资源（例如网关、目标规则或虚拟服务）

Kubernetes 默认角色的默认权限摘要

Istio 创建了三个 ClusterRoles 并将 Istio CRD 访问权限添加到以下默认 K8s ClusterRole：

由 chart 创建的 ClusterRole 默认 K8s ClusterRole Rancher 角色

由 chart 创建的 ClusterRole	默认 K8s ClusterRole	Rancher 角色
`istio-admin`	admin	项目所有者
`istio-edit`	edit	项目成员
`istio-view`	view	只读

istio-admin

admin

项目所有者

istio-edit

edit

项目成员

istio-view

view

只读

Rancher 将继续使用 cluster-owner、cluster-member、project-owner、project-member 等作为角色名称，但将利用默认角色来确定访问权限。对于每个默认 K8s ClusterRole，都有不同的 Istio CRD 权限和 K8s 操作（创建（C）、获取（G）、列出（L）、监视（W）、更新（U）、补丁（P）、删除（D）、所有（*））可以执行。

CRD 管理员编辑查看

CRD	管理员	编辑	查看
<ul><li>`config.istio.io`</li><ul><li>`适配器`</li><li>`属性清单`</li><li>`处理程序`</li><li>`httpapi规范绑定`</li><li>`httpapi规范`</li><li>`实例`</li><li>`配额规范绑定`</li><li>`配额规范`</li><li>`规则`</li><li>`模板`</li></ul></ul>	GLW	GLW	GLW
<ul><li>`networking.istio.io`</li><ul><li>`目标规则`</li><li>`envoy过滤器`</li><li>`网关`</li><li>`服务条目`</li><li>`sidecars`</li><li>`虚拟服务`</li><li>`工作负载条目`</li></ul></ul>	*	*	GLW
<ul><li>`security.istio.io`</li><ul><li>`授权策略`</li><li>`对等身份验证`</li><li>`请求身份验证`</li></ul></ul>	*	*	GLW

<ul><li>config.istio.io</li><ul><li>适配器</li><li>属性清单</li><li>处理程序</li><li>httpapi规范绑定</li><li>httpapi规范</li><li>实例</li><li>配额规范绑定</li><li>配额规范</li><li>规则</li><li>模板</li></ul></ul>

GLW

<ul><li>networking.istio.io</li><ul><li>目标规则</li><li>envoy过滤器</li><li>网关</li><li>服务条目</li><li>sidecars</li><li>虚拟服务</li><li>工作负载条目</li></ul></ul>

GLW

<ul><li>security.istio.io</li><ul><li>授权策略</li><li>对等身份验证</li><li>请求身份验证</li></ul></ul>

GLW