访问控制
访问控制模块用于管理集群内的身份认证与权限分配,涵盖 ServiceAccount、Role、ClusterRole、RoleBinding 和 ClusterRoleBinding 等 RBAC 资源。
访问控制
访问控制模块用于管理集群内的身份认证与权限分配,涵盖 ServiceAccount、Role、ClusterRole、RoleBinding 和 ClusterRoleBinding 等 RBAC 资源。
ServiceAccount
ServiceAccount 为 Pod 提供集群内的身份标识,控制 Pod 与 API Server 之间的认证方式。
列表页
列表页展示所有 ServiceAccount,包含以下字段:
| 字段 | 说明 |
|---|---|
| 名称 | ServiceAccount 名称,点击可进入详情页 |
| 命名空间 | 所属命名空间 |
| Secrets | 关联的 Secret 数量 |
| 镜像拉取密钥 | 用于拉取私有镜像的凭证数量,无则显示 - |
| 自动挂载令牌 | 是否自动将 API 访问凭证挂载到 Pod(已启用 / 已禁用) |
| 运行时长 | 资源创建时间 |
页面顶部提供 创建账号 和 刷新 按钮。列表支持按命名空间过滤和按名称搜索。每行的操作菜单支持编辑和删除,删除前需确认。
创建与编辑
创建 ServiceAccount 时填写名称和命名空间,支持表单模式和 YAML 模式切换。
编辑时可修改以下配置:
- 自动挂载令牌 — 控制使用此 ServiceAccount 的 Pod 是否自动挂载 API 令牌。
- 镜像拉取密钥 — 配置用于从容器镜像仓库拉取镜像的密钥,这些密钥会自动注入到使用此 ServiceAccount 的 Pod 中。
详情页
点击名称进入详情页,以标签页形式展示:
- 概览 — 显示名称、命名空间、运行时长和自动挂载令牌状态。
- Secrets — 显示关联的 Secret 数量、镜像拉取密钥数量及具体密钥名称列表。
详情页顶部提供编辑和删除按钮。
每个 Pod 默认挂载其关联 ServiceAccount 的 Token。如不需要自动挂载,可在编辑时关闭自动挂载令牌选项。
Role
Role 和 ClusterRole 定义了集群中的权限规则。Role 作用于特定命名空间,ClusterRole 作用于整个集群。
列表页
列表页展示 Role 资源,包含以下字段:
| 字段 | 说明 |
|---|---|
| 名称 | Role 名称,点击可进入详情页 |
| 命名空间 | 所属命名空间 |
| 类型 | 以 Badge 标识 Role 或 ClusterRole |
| 规则 | 定义的权限规则条数 |
| 绑定状态 | 已绑定(绿色)或未绑定 |
| 运行时长 | 资源创建时间 |
页面顶部提供 创建角色 和 刷新 按钮。列表支持按命名空间过滤和按名称搜索。每行的操作菜单支持编辑和删除。
创建与编辑
创建或编辑 Role 时,支持表单模式和 YAML 模式切换。
表单模式字段:
- 名称 — 资源名称(必填)。
- 命名空间 — 所属命名空间(必填)。
权限规则配置:
- API 组 — 选择目标 API 组(支持多选),空字符串表示核心 API 组。
- 资源 — 选择要授权的资源类型(支持多选)。
- 操作 — 选择允许的操作(支持多选),包括
get、list、watch、create、update、patch、delete等。
可添加多条权限规则。验证规则:名称必填;每条规则至少需要一个资源和一个操作。
详情页
点击名称进入详情页,以标签页形式展示:
- 概览 — 显示名称、命名空间、类型和规则数量。
- 权限规则 — 逐条展示每条规则的 API 组、资源和操作,以 Badge 形式呈现。
- YAML — 查看资源的原始 YAML 定义。
详情页顶部提供编辑和删除按钮。
RoleBinding
RoleBinding 将 Role(或 ClusterRole)的权限绑定到特定命名空间中的主体(User、Group 或 ServiceAccount)。
列表页
列表页展示所有 RoleBinding,包含以下字段:
| 字段 | 说明 |
|---|---|
| 名称 | RoleBinding 名称,点击可进入详情页 |
| 命名空间 | 所属命名空间 |
| 角色 | 绑定的 Role 或 ClusterRole(以 Badge 标识类型,后跟名称) |
| 绑定对象 | 被授权的用户、组或 ServiceAccount |
| 运行时长 | 资源创建时间 |
列表支持按命名空间过滤和按名称搜索。每行的操作菜单仅支持删除,删除前需确认。
RoleBinding 可以引用 ClusterRole,此时该 ClusterRole 的权限仅在 RoleBinding 所在的命名空间中生效,而非整个集群。
详情页
点击名称进入详情页,以标签页形式展示:
- 概览 — 显示名称、命名空间、角色引用(类型、名称、API 组)和绑定对象数量。
- 绑定对象 — 列出每个主体的类型(以 Badge 标识)、名称和命名空间。
- YAML — 查看资源的原始 YAML 定义。
ClusterRoleBinding
ClusterRoleBinding 将 ClusterRole 的权限绑定到整个集群范围的主体。
列表页
列表页展示所有 ClusterRoleBinding,包含以下字段:
| 字段 | 说明 |
|---|---|
| 名称 | ClusterRoleBinding 名称,以地球图标标识集群级别 |
| 角色 | 绑定的 ClusterRole(以 Badge 标识) |
| 绑定对象 | 被授权的用户、组或 ServiceAccount |
| 运行时长 | 资源创建时间 |
列表支持按名称搜索。每行的操作菜单仅支持删除,删除前需确认。
ClusterRoleBinding 没有独立的详情页。如需查看完整定义,请通过 kubectl 等命令行工具获取。
注意事项
- 删除 Binding 不会删除关联的 Role 或 ServiceAccount,但会立即撤销其权限。
- RBAC 规则修改后即时生效,无需重启任何组件。
- 删除正在被工作负载使用的 ServiceAccount 会导致 Pod 无法与 API Server 通信,请先确认无工作负载依赖。
本文档更新于 2026-04-25 09:00