全局角色定义任何特定集群范围之外的用户授权。开箱即用,有两个默认的全局角色: 管理员和标准用户

  • 管理员:

    这些用户可以完全控制整个Rancher系统和其中的所有集群。

  • 标准用户:

    这些用户可以创建新的集群并使用它们。标准用户还可以为其集群分配其他用户角色。

注意: 不能创建、更新或删除全局角色。

指定全局角色

将全局角色分配给用户取决于其身份验证源: 外部或本地。

  • 外部认证

    当用户首次使用外部身份验证提供者登录到Rancher时,会自动为他们分配标准用户全局角色。

  • 本地认证

    当您创建一个新的本地用户时,您将在完成Add user表单时为他们分配一个全局角色。

自定义全局角色

您可以为用户分配一组自定义权限,而不是为用户分配Administrator标准用户的默认全局角色。

Permissions 是在为用户选择自定义权限时可以分配的个人访问权限。

使用自定义权限方便地为用户精确指定访问权限。 有关可用的单个权限列表,请参见下表。

全局角色参考

下表列出了每个可用的自定义全局角色,以及是否将其分配给默认的全局角色管理员标准用户

自定义全局角色 管理员 标准用户
Manage Authentication
Manage Catalogs
Manage Node Drivers
Manage PodSecurityPolicy Templates
Manage Roles
Manage Users
Create Clusters
User Catalog Templates
Login Access

注意: 上面列出的每个权限都由Rancher UI中没有列出的多个单独的权限组成。有关这些权限及其组成规则的完整列表,请通过API/v3/globalroles访问查看。

新用户的默认全局角色

当来自外部认证源的用户第一次登录Rancher时,会自动为他们分配一组全局角色(以下称为权限)。默认情况下,为新用户分配user权限。 但是,在某些组织中,这些权限可能会扩展太多访问权限。在此用例中,您可以将默认权限更改为更具限制性的权限,例如一组单独的权限。

您可以分配一个或多个默认权限。例如,user权限为新用户分配一组单独的全局权限。如果要限制新用户的默认权限,可以将user权限作为默认角色删除,然后将多个单独的权限分配为默认权限。相反,您还可以在一组其他标准权限之上添加管理权限。

注意: 默认角色只分配给从外部身份验证提供者添加的用户。对于本地用户,在向Rancher添加用户时必须显式地分配全局权限。您可以在添加用户时自定义这些全局权限。

配置默认全局角色

您可以更改在外部用户首次登录时分配给他们的默认全局角色。

  1. 全局视图中, 选择安全 > 角色 ,确保选中全局选项卡。

  2. 查找要用作默认值的权限集。然后选择省略号菜单 > 编辑来编辑权限。

  3. 选择是:新用户的默认角色然后单击保存

  4. 如果要删除默认权限,请编辑权限,然后从新用户默认值中选择