请问容器云平台应该上的运维、开发、项目管理人员,使用租户的方式来区分的话应该分配什么权限给他们比较合适呢?工作职责应该如何区分?
这个可以通过为不同的人员采用不同的rbac来实现,不同的人员可以以组的方式管理,最与最终定义的相关角色进行绑定。
比如 运维人员 有读、写(查看与删除)deployment/daemonset 等资源的访问权限。开发人员和管理人员也是如此,这个可以按公司人员管理的具体情况进行定义。
最近考了下华为的GaussDB for Mysql的认证,觉得华为的DAS产品的设计思路值得题主借鉴一下,默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
DAS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DAS时,需要先切换至授权区域。
根据授权精确程度分为角色和策略。