本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

自定义角色

在Rancher中,_角色_决定用户在集群或项目中可以执行的操作。

请注意,_角色_与_权限_不同,后者决定您可以访问哪些集群和项目。

自定义角色可以启用权限升级。有关详细信息,请参见 本节。

先决条件

要完成此页面上的任务,需要以下权限之一:

创建自定义角色

虽然Rancher自带一组默认用户角色,但您也可以创建默认自定义角色,以便为用户提供在Rancher中非常具体的权限。

添加自定义角色的步骤因Rancher的版本而异。

  1. 在左上角,点击*☰ > 用户与身份验证*。

  2. 在左侧导航栏中,点击 角色模板

  3. 选择一个选项卡以确定您要添加的角色的范围。选项卡包括:

    • *全局:*该角色有效,允许成员管理全局范围的资源。

    • *群集:*该角色在添加/管理集群成员时有效。

    • *项目/名称空间:*该角色在添加/管理项目或名称空间的成员时有效。

  4. 单击 创建全局角色, 创建集群角色创建项目/名称空间角色, 具体取决于范围。

  5. 输入角色的*名称*。

  6. 可选:选择 集群/项目创建者默认 选项,以便在用户创建新集群或项目时将此角色分配给他们。使用此功能,您可以展开或限制集群/项目创建者的默认角色。

    开箱即用,集群创建者默认角色和项目创建者默认角色分别是`Cluster Owner`和`Project Owner`。

  7. 使用*授予资源*选项将单个 Kubernetes API端点分配给该角色。

    在查看 Rancher 创建的默认角色相关的资源时,如果一行中有多个 Kubernetes API 资源,该资源将附加 (Custom)。这些不是自定义资源,而只是表示有多个Kubernetes API资源作为一个资源。

    资源文本字段提供了一种搜索预定义Kubernetes API资源的方法,或输入自定义资源名称以进行授权。在输入资源名称后,必须从下拉列表中选择预定义或`(Custom)`资源。

    您还可以选择可用于每个分配的端点的单个cURL方法(CreateDelete、`Get`等)。

  8. 使用*从中继承*选项将单个Rancher角色分配给您的自定义角色。注意:当自定义角色从父角色继承时,父角色在子角色被删除之前无法被删除。

  9. 单击*创建*。

创建一个从另一个角色继承的自定义角色

如果您有一组需要在Rancher中具有相同访问级别的个人,创建一个自定义角色可以节省时间,该角色将另一个角色(例如管理员角色)中的所有规则复制到新角色中。这使您只需配置现有角色与新角色之间的差异。

然后可以将自定义角色分配给用户或组,以便在用户或用户首次登录Rancher时角色生效。

要基于现有角色创建自定义角色,

  1. 在左上角,点击*☰ > 用户与身份验证*。

  2. 在左侧导航栏中,点击 角色模板

  3. 点击 集群项目/名称空间 标签。单击*创建集群角色*或*创建项目/名称空间角色*,具体取决于范围。注意:只有集群角色和项目/名称空间角色可以从另一个角色继承。

  4. 输入角色名称。

  5. 在*从中继承*选项卡中,选择自定义角色将从中继承权限的角色。

  6. 在*授予资源*选项卡中,选择将为具有自定义角色的用户启用的Kubernetes资源操作。

    资源文本字段提供了一种搜索预定义Kubernetes API资源的方法,或输入自定义资源名称以进行授权。在输入资源名称后,必须从下拉列表中选择预定义或`(Custom)`资源。

  7. 可选:将角色分配为默认。

  8. 单击*创建*。

删除自定义角色

删除自定义角色时,所有与该自定义角色绑定的全局角色都会被删除。

如果用户仅被分配了一个自定义角色,并且该角色被删除,用户将失去对Rancher的访问权限。为了让用户重新获得访问权限,管理员需要编辑该用户并应用新的全局权限。

自定义角色可以被删除,但内置角色不能被删除。

要删除自定义角色,

  1. 在左上角,点击*☰ > 用户与身份验证*。

  2. 在左侧导航栏中,点击 角色模板

  3. 前往要删除的自定义全局角色,点击*⋮ (…​) > 删除*。

  4. 单击*删除*。

将自定义角色分配给组

如果您有一组需要在Rancher中获得相同访问级别的个人,创建自定义角色可以节省时间。当角色被分配给一个组时,组中的用户在第一次登录Rancher时将拥有适当的访问级别。

当组中的用户登录时,他们默认会获得内置的标准用户全局角色。他们还将获得分配给其组的权限。

如果用户从外部身份验证提供者组中被移除,他们将失去分配给该组的自定义角色的权限。他们将继续拥有各自的标准用户角色。

先决条件:

您只能在以下情况下将全局角色分配给组:

要将自定义角色分配给组,请按照以下步骤操作:

  1. 在左上角,点击*☰ > 用户与身份验证*。

  2. 在左侧导航栏中,点击*组*。

  3. 前往将被分配自定义角色的现有组,点击*⋮ > 编辑配置*。

  4. 如果您创建了角色,它们将在*自定义*部分显示。选择将分配给该组的任何自定义角色。

  5. 可选:在*全局权限*或*内置*部分中,选择该组应拥有的任何额外权限。

  6. 点击*保存。*。

*结果:*当组中的用户登录Rancher时,自定义角色将生效。

权限升级

Configure Catalogs 自定义权限非常强大,使用时应谨慎。当管理员将`Configure Catalogs`权限分配给标准用户时,可能会导致权限升级,用户可能会为自己提供对 Rancher 管理的集群的管理员访问权限。拥有此权限的任何人都应被视为与管理员相当。