概述
-
Polarismesh(北极星) 的鉴权功能,您可以清晰地管理资源与用户的访问权限。北极星基于命名空间和服务资源维度实现权限管控。
-
Polarismesh(北极星) 引入策略的概念,将资源的访问权限与不同的用户角色联系到一起。例如下图,
-
Polarismesh(北极星) 默认账户
name: polaris password: polaris
鉴权模型
主账号
也可称为主用户,是所有北极星资源的拥有者,对所有北极星资源有操作权限。
- 主账户可以直接修改子账户的密码
- 主账户可以创建、删除用户
- 主账户可以创建、删除用户组
- 主账户可以为用户组添加、移除用户
- 主账户可以禁用用户、用户组token
- 主账户可以编辑鉴权策略
子账号
由主账户创建的协作账户,默认只能操作没有关联任何鉴权策的北极星资源。
- 子账户能够查看北极星的账户列表,但是只能查看自己的账户信息
- 子账户只能查看自身的token信息
- 子账户只能查看自己所在的用户组列表
- 子账户只能查看自己所在的用户组的token
用户组
北极星的用户组概念,是一组具有相同权限的用户。主账号可以通过创建用户组批量对用户进行授权与管理。
- 用户组只能由主账号创建和授权
- 用户组不能进行控制台登录
授权
主用户可以管理所有子用户以及用户分组的写权限。子用户可将自己拥有写权限的资源权限分配给其他子用户或者用户组。
- 如果用户UserA被加入用户组GroupA,那么UserA可以操作授权给GroupA的资源,但是GroupA无法操作UserA的资源。
- 如果用户UserA从用户组GroupA中被移除,那么UserA将无法操作授权给GroupA的资源。
- 默认策略只能编辑资源信息
资源操作凭据 Token
资源权限将通过token进行控制和管理,用户与用户组均可生成。
- 若用户UserA的token被禁用,则只能读取北极星的资源,但是无法创建、修改北极星的资源。
- 若用户组GroupA的token被禁用,则GroupA只能读取北极星的资源,但是无法创建、修改北极星的资源。
资源鉴权设计
未开启鉴权
- 命名空间、服务、配置分组的读写操作不受限制,任何人都可以对资源进行修改。
开启鉴权
- 开启鉴权前创建的资源,默认没有绑定鉴权策略,任何人都可以对资源进行修改。
- 鉴权行为仅针对有绑定策略的资源生效。
- 命名空间、服务、配置分组,创建之后默认仅能被管理员以及当前创建者进行读写操作。
命名空间
- 任何用户均可以创建命名空间
- 如果用户对该命名空间有写权限,则可以在该命名空间下创建服务以及配置分组。
- 用户可以在创建命名空间时,指定可以操作该命名空间的其他用户,或者用户组。
服务
- 用户可以在创建服务时,指定可以操作该服务的其他用户,或者用户组
- 如果用户对该服务有写权限,则可以对该服务的信息、实例进行操作。
- 如果用户对该服务有写权限,但是没有对应命名空间的写权限,也可以对该服务的信息、实例进行操作。
配置分组
- 如果用户对该配置分组有写权限,则可以对该配置分组的信息、配置文件进行操作。
- 如果用户对该配置分组有写权限,但是没有对应命名空间的写权限,也可以对该配置分组的信息、配置文件进行操作。