RBAC角色访问控制

已于 2025-03-30 00:23:30 修改
阅读量3.4k 收藏 1
点赞数
分类专栏: k8s 文章标签: kubernetes 容器 RBAC
于 2022-01-29 23:15:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/omaidb/article/details/122747455
版权

RBAC角色访问控制

参考: https://www.toutiao.com/i6942467217019666952/?wid=1643459986078

user(用户)

user不能直接创建


ServiceAccount(服务账户)

参考: https://kubernetes.io/zh/docs/reference/access-authn-authz/authentication/#service-account-tokens

  • ServiceAccount用的Secret类型kubernetes.io/service-account-token
  • ServiceAccount创建完成,其对应的Secret信息由kube-controller-manager更新
  • ServiceAccount可以简写为sa
    在这里插入图片描述

创建ServiceAccount(服务账户)

参考: https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#一些命令行工具

https://blog.youkuaiyun.com/wangmiaoyan/article/details/102551390

https://www.cnblogs.com/zhaobowen/p/13562487.html#一生成账号

RBAC认为权限授权实际上是WhoWhat、How的问题。在RBAC模型中,whowhathow构成了访问权限三元组,也就是"Who对What(Which)进行How的操作"。

  • Who(谁):权限的拥有者或主体,例如Principal、User、Group、Role、Actor等。

  • What(对什么资源):权限针对的对象或资源,例如Resource、Class。

  • How(以什么方式):具体的权限,例如Privilege,包括正向授权与负向授权。

  • Operators(做什么动作):操作,表明对What进行How的操作,即Privilege+Resource的组合。

  • Role:角色,代表一定数量的权限的集合。它是权限分配的单位与载体,旨在隔离User与Privilege的逻辑关系。

  • Group:用户组,同样是权限分配的单位与载体。权限不是直接分配给特定的用户,而是分配给组。组可以包含其他组(以实现权限的继承),也可以包含用户,组内用户会继承组的权限。User与Group之间存在多对多的关系,且Group可以层次化,以满足不同层级的权限控制要求。

# 在命名空间app-team1中创建服务账户cicd-token
kubectl create sa cicd-token -n app-team1

# 查看服务账户是否创建
kubectl get sa cicd-token -n app-team1 

# 查看服务账户详情
kubectl describe sa cicd-token -n app-team1

删除ServiceAccount(服务账户)

# 查看命名空间app-team1下的所有用户
kubectl get sa -n app-team1 

# 命名空间app-team1下的cicd-token用户
kubectl delete sa cicd-token -n app-team1

role(角色–管理指定资源的用户)

对哪个指定的资源(作用域是命名空间)执行哪些权限,不能添加拒绝权限;
创建role作用域只限于这个指定的资源对象.

例如:

  • 创建的服务账户只能操作指定的namespace
  • 创建的服务账户只能操作指定的pod
  • 创建的服务账户只能操作指定的deployment
  • 等等----可以精准的授权

创建role(角色)

参考: https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#kubectl-create-role

# 创建名称为 "pod-reader" 的 Role 对象,允许用户对 Pods 执行 get、watch 和 list 操作
kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods

创建RoleBinding(绑定角色)

https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#rolebinding-and-clusterrolebinding
将服务账户绑定到role(角色)(要指定命名空间),让服务账户拥有role(角色)的权限。

也将服务账户绑定到clusterrole,(权限作用域只限于服务账户的命名空间),一般用来配置命名空间管理员权限;

角色绑定(Role Binding)是将角色中定义的权限赋予一个或者一组用户。一个 RoleBinding 可以引用同一的名字空间中的任何 Role。

# 将集群角色绑定到服务账户
## {binding_NAME}=用户名-集群角色名-binding
kubectl create rolebinding ${binding_NAME} -- clusterrole=${集群角色名} --serviceaccount=${命名空间名}:${用户名} -n ${命名空间名}

# 在命名空间app-team1中,将ClusterRole(集群角色)deployment-clusterrole绑定到服务账户cicd-token
kubectl create rolebinding cicd-token-deployment-clusterrole-binding -- clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token -n app-team1

删除RoleBinding

# 查看命名空间app-team1下有哪些rolebinding
kubectl get rolebinding -n app-team1

# 删除命名空间app-team1下名为cicd-token-deployment-clusterrole-binding的rolebinding
kubectl delete rolebinding cicd-token-deployment-clusterrole-binding -n app-team1

ClusterRole(集群角色)

ClusterRole的作用域是个整个集群下.

例如:

  • 创建的服务账户只能查看该集群的信息
  • 创建的服务账户可以修改该集群的信息
  • 等等----可以非常精准的授权

创建ClusterRole(集群角色)

ClusterRole 有若干用法。你可以用它来:

  • 定义对某命名空间域对象的访问权限,并将在各个命名空间内完成授权;
  • 为命名空间作用域的对象设置访问权限,并跨所有命名空间执行授权;
  • 为集群作用域的资源定义访问权限。
# 创建ClusterRole(集群角色)deployment-clusterrole,权限限定为:只允许创建deployments,daemonsets,statefulsets
kubectl create clusterrole deployment-clusterrole --verb=create --
resource=deployments,daemonsets,statefulsets

创建clusterrolebinding(绑定集群角色)

# 将服务账户绑定到集群角色
### {clusterrolebinding_NAME}=服务账户名-集群角色名-binding
kubectl create clusterrolebinding {binding_NAME} --clusterrole=集群角色名--serviceaccount=kube-system:用户名

# 将服务账户tiller绑定到集群管理员cluster-admin角色
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller

删除clusterrolebinding

# 查看集群中有哪些clusterrolebinding
kubectl get clusterrolebinding |grep {clusterrolebinding_NAME}

# 删除指定clusterrolebinding
kubectl delete clusterrolebinding {clusterrolebinding_NAME}

查看RBAC权限常用命令

参考: https://kubernetes.io/zh/docs/reference/kubectl/overview/#%E8%B5%84%E6%BA%90%E7%B1%BB%E5%9E%8B

# 查看服务账户
kubectl get sa 用户名

# 查看服务账户详情
kubectl describe sa 用户名

# 查看集群角色
kubectl get ClusterRole 集群角色名

# 查看集群角色详情
kubectl describe ClusterRole 集群角色名

# 查看role
kubectl get role 角色名

# 查看role详情
kubectl describe role 角色名

# 查看rolebindings
kubectl get rolebinding 绑定名

# 查看rolebindings详情
kubectl describe rolebinding 绑定名

# 删除rolebindings
kubectl delete rolebinding 绑定名

测试服务账户权限

# 测试服务账户权限
kubectl --as=system:serviceaccount:app-team1:cicd-token get pods -n app-team1

CKA考试RBAC授权题

在这里插入图片描述

# 切换到名为k8s的集群
kubectl config use-context k8s

# 创建ClusterRole(集群角色)deployment-clusterrole,权限限定为:只允许创建deployments,daemonsets,statefulsets
kubectl create clusterrole deployment-clusterrole --verb=create -- resource=deployments,statefulsets,daemonsets

# 在命名空间app-team1中创建服务账户cicd-token
kubectl create serviceaccount cicd-token -n app-team1

# 在命名空间app-team1中,将ClusterRole(集群角色)deployment-clusterrole绑定到服务账户cicd-token
kubectl create rolebinding cicd-token-deployment-clusterrole-binding -- clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token -n app-team1
## 将集群角色绑定到服务账户
## {binding_NAME}=用户名-集群角色名-binding
kubectl create rolebinding ${binding_NAME} -- clusterrole=${集群角色名} --serviceaccount=${命名空间名}:${用户名} -n ${命名空间名}

# 测试服务账户权限
kubectl --as=system:serviceaccount:app-team1:cicd-token get pods -n app-team1

# 查看服务账户详情
kubectl describe sa cicd-token -n app-team1 

# 查看集群角色详情
kubectl describe clusterrole deployment-clusterrole

# 查看服务账户绑定成功,验证rolebinding资源
kubectl describe rolebinding cicd-token-deployment-clusterrole-binding -n app-team1
kubernettes之RBAC基于角色访问控制
rendongxingzhe的博客
09-08 334
kubernetesRBAC基于角色访问控制
基于角色访问控制技术(RBAC)
10-07
访问控制是通过某种途径显示的准许或限制访问能力及范围,从而限制对目标资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏[2]。目前流行的访问控制模型有自主访问控制模型(Discretionary Access Control,DAC)、强制访问控制模型(Mandatory Access Control, MAC)和基于角色访问控制模型(Role-Based Access Control,RBAC)
用java写的RBAC角色访问控制系统可用于毕业设计
05-05
各种代码批注很详细。
基于角色访问控制RBAC)的角色权限设计与注意事项。
Hello_JavaScript的博客
08-14 2345
设计: RBAC基本概念: RBAC(Role-Based Access Control):基本理念是将“角色”这个概念赋予具体用户,在系统中用户与权限之间通过角色进行关联,以这样的方法来实现灵活配置。 用户与角色的关系:用户与角色是多对一或者多对多关系。一个用户对应一个角色。一个用户对应多个角色,最终权限取多个角色的并集。权限都是由角色控制的,给角色赋予权限,再将权限配置给用户,用户就具有...
RBAC(基于角色访问控制
最新发布
2401_86250490的博客
03-21 677
可根据听众背景(技术/非技术)调整技术细节的深度,并添加实际项目中的代码或界面截图增强说服力。如OA、ERP系统,根据部门/职位分配角色(如HR、财务、IT运维)。使用角色树减少重复定义(如“华东区管理员”继承“基础管理员”权限)。权限的集合,代表某种职能或岗位(如“管理员”“财务专员”)。使用IAM系统(如Keycloak、Okta)统一管理角色。用户激活角色的临时上下文(如登录后选择角色)。对资源的操作(如“读取文件”“删除订单”)。动态权限通过属性(时间、位置)补充。系统的使用者(如员工、客户)。
Openvswitch的RBAC 基于角色访问控制
redwingz的博客
07-01 346
客户端到OVS数据库的连接中使用SSL提供认证服务,基于角色访问控制(role based access control, RBAC)服务为连接到OVS数据库的客户端提供授权操作。RBAC允许管理员限制客户端可能执行的数据库操作,从而进一步增强已由SSL提供的安全性。 理论上,任何OVS数据库都可以定义RBAC角色和权限,但是目前仅OVN南向数据库中具有合适的表支持RBAC。 机制 RBAC旨在补...
Java实现RBAC角色访问控制系统的详细教程
标题中提到“用Java写的RBAC角色访问控制系统可用于毕业设计”,这表明本系统可能是一个教学或者实验性质的项目,旨在帮助学生或者开发者理解和掌握RBAC系统的构建过程。而描述中提到的“各种代码批注很详细”,则...
深入解析RBAC角色访问控制原理与应用
RBAC(Role-Based Access Control)是一种基于角色访问控制模型,在现代信息系统中被广泛应用。它通过引入角色(Role)的概念,简化了权限管理的复杂性,提高了系统的安全性和灵活性。下面详细讲解RBAC的基本原理...
深入探讨RBAC角色访问控制系统的关键实现
角色访问控制RBAC,Role-Based Access Control)是一种安全策略,它基于用户的角色来管理对资源的访问权限。RBAC系统中,权限并不是直接分配给单个用户,而是分配给特定的角色,用户通过被分配到的角色来获取权限...
Golang实现的RBAC角色访问控制中间件
资源摘要信息:"rbac:Golang基于角色访问控制中间件" 在当今的软件开发领域,确保应用的安全性是非常关键的任务之一,特别是在多用户系统中,需要对不同用户根据其角色进行细粒度的访问控制。Golang(通常称为Go)...
访问控制权限——RBAC技术文档
qq_45674716的博客
03-22 2078
权限管理功能是信息管理系统不可或缺的重要组成部分,是保证信息系统安全性的前提和基础。权限管理可以对用户的登录进行验证,对系统的资源访问进行鉴权,防止用户对系统越权使用,保障数据在采集、存储和传输过程中的安全性。RBAC基于角色的权限访问控制(Role-Based Access Control) 是商业系统中最常见的权限管理技术之一。RBAC是一种思想,任何编程语言都可以实现,其成熟简单的控制思想越来越受广大开发人员喜欢。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。
KubernetesServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色访问控制) NODE(基...
Kubernetes & ServiceAccount
来啊 快活啊
02-22 3074
ServiceAccount 每个namespace下有一个名为default的默认的ServiceAccount对象,这个ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。 如果一个Pod在...
kubernetes ServiceAccount 配置
泽佑兄弟 ZYbros
06-16 1944
开始配置Kubernetes集群的时候为了少出问题,都是在apiserver配置中去掉ServiceAccount采用非安全连接的方式,但在后面配置FEK日志的过程中,很多时候绕不开这个安全机制,但因为开始在centos上安装是通过yum的方式,所以那些ca.crt,server.crt,kubecfg.key等文件都是没有的。自己手工去建了好几次最后都有一些问题。 本文是基于git-hub中m
k8s学习-基于角色的权限控制RBAC(概念,模版,创建,删除等)
关注网络安全、云原生安全
09-04 2166
Service Account:服务帐号,通过Kubernetes API 来管理的一些用户帐号,和 namespace 进行关联的,适用于集群内部运行的应用程序,需要通过 API 来完成权限认证,所以在集群内部进行权限操作,都需要使用到 ServiceAccount,这也是本文的重点。User Account:用户,这是有外部独立服务进行管理的,管理员进行私钥的分配,用户可以使用 KeyStone或者 Goolge 帐号,甚至一个用户名和密码的文件列表也可以。例如,查看pod的资源。
CKA考试心得
yuan_jiaoyoung的博客
08-09 3629
CKA考试
cka-真题RBAC
lijian965644856的博客
02-01 539
Task: 创建一个名为deployment-clusterrole的clusterrole,并且对该clusterrole只绑定对Deployment,Daemonset,Statefulset的创建权限 在指定namespace app-team1创建一个名为cicd-token的serviceaccount,并且将上一步创建clusterrole和该serviceaccount绑定 题目解释: 1,touch deployment-clusterrole.yml videploy...
k8s之serviceaccount,登录账号创建
weixin_30535167的博客
08-09 1132
kubectl --> 认证 --->授权 -->准入控制 认证:证书 身份识别 授权:rbac 权限检查 准入控制: 补充授权机制 多个插件实现 只在创建 删除 修改 或做代理操作时做补充 用户账号: user 客户端 -->API server --> user:username,uid group: extra...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值