一、背景

容器场景中，团队之间设置的访问控制颗粒度大，很容易造成环境交叉占用、环境被误操作、部门之间资源竞争的情况，所以访问控制细分很重要，就需要限制不同用户的资源权限。

二、方案示例：设置华为云子账号只有集群某个命名空间的权限

用户研发和测试：集群A的NameSpaceA有权限。
用户运维：集群A的NameSpaceB有权限。

场景效果如图：

三、实操步骤

3.1 创建用户、用户组，将用户加入用户组

步骤1 登录华为云平台->点击控制台

步骤2 将鼠标放在用户名上->点击下拉菜单中的“统一身份认证”

步骤3 点击用户组->创建用户组

步骤4 输入用户组名->确定（描述可以根据生产实际情况填写）

步骤5 点击用户->创建用户->填写用户名（描述等根据实际情况填写）->勾选访问方式->选择凭证类型->选择是否开启登录保护->下一步

步骤6 勾选用户组->点击创建用户

步骤7 如果步骤7中“凭证类型”选择了“访问秘钥”则在此下载(选择其他方式请忽略）->返回用户列表

----结束

3.2 对用户组进行IAM授权

步骤1 点击用户组->目标用户组右侧“授权”

步骤2 点击下拉菜单->输入“CCE”->选择云容器引擎（CCE）->勾选CCE ReadOnlyAccess->下一步

步骤3 根据实际情况设置资源范围->确定

步骤4 点击完成，回到用户组页面

----结束

3.3 对用户组进行RBAC授权

步骤1 点击“服务列表”

步骤2 在搜索栏输入 CCE->点击“云容器引擎CCE”

步骤3 权限管理->选择集群->针对“名称空间”->添加权限

步骤4 选择用户组->选择“名称空间”->自定义权限->新建自定义权限

步骤5 填写权限名->选择“Role”->添加规则->确定

步骤6 点击刷新->点击下拉菜单->勾选新建的权限->点击确定

----结束

验证

步骤1 进入华为云登录页面->点击IAM用户->输入主账号用户名->输入子账号用户名->输入密码->登录

步骤2 更新密码（选择其他凭证的请按实际情况操作）

步骤3 效果：对其他集群无权限->点击其他集群，弹出无权限警告

步骤4 点击被授权集群->工作负载->点击名称空间

发现只能看见被授权的名称空间

----结束