原文地址:Role-based access control

总览


身份验证已添加到etcd 2.1中。 etcd v3 API略微修改了身份验证功能的API和用户界面,以更好地适应新的数据模型。本指南旨在帮助用户在etcd v3中设置基本身份验证和基于角色的访问控制。

特殊用户和角色


有一个特殊用户root,一个特殊角色root

用户root

在激活身份验证之前,必须创建对etcd具有完全访问权限的root用户。 root用户的想法是出于管理目的:管理角色和普通用户。 root用户必须具有root角色,并且可以在etcd中进行任何更改。

角色root

可以将角色root授予除root用户之外的任何用户。 具有root角色的用户既具有全局读写访问权限,又具有更新集群的身份验证配置的权限。 此外,root角色授予常规集群维护的特权,包括修改集群成员资格,对存储进行碎片整理以及拍摄快照。

用户的工作方式


etcdctluser子命令处理与用户帐户有关的所有事情。

可以通过以下方式找到用户列表:

$ etcdctl user list

通过以下方式创建新用户:

$ etcdctl user add myusername

创建新用户将提示您输入新密码。 当给出选项--interactive=false时,可以从标准输入中提供密码。 --new-user-password也可以用于提供密码。

可以通过以下方式为用户授予和撤消角色:

$ etcdctl user grant-role myusername foo
$ etcdctl user revoke-role myusername bar

可以使用以下命令检查用户的设置:

$ etcdctl user get myusername

用户密码可以通过以下方式更改:

$ etcdctl user passwd myusername

更改密码将再次提示您输入新密码。 当给出选项--interactive=false时,可以从标准输入中提供密码。

通过以下方式删除帐户:

$ etcdctl user delete myusername

角色的工作方式:


etcdctlrole子命令处理与授予特定用户的特定角色的访问控制有关的所有事情。

列出角色:

$ etcdctl role list

创建一个新角色:

$ etcdctl role add myrolename

角色没有密码; 它仅定义了一组新的访问权限。

授予角色访问单个密钥或一系列密钥的权限。

范围可以指定为间隔[开始键,结束键],其中开始键应按字母顺序在词汇上小于结束键。

可以将访问权限授予读取,写入或同时授予两者,如以下示例所示:

# Give read access to a key /foo
$ etcdctl role grant-permission myrolename read /foo # Give read access to keys with a prefix /foo/. The prefix is equal to the range [/foo/, /foo0)
$ etcdctl role grant-permission myrolename --prefix=true read /foo/ # Give write-only access to the key at /foo/bar
$ etcdctl role grant-permission myrolename write /foo/bar # Give full access to keys in a range of [key1, key5)
$ etcdctl role grant-permission myrolename readwrite key1 key5 # Give full access to keys with a prefix /pub/
$ etcdctl role grant-permission myrolename --prefix=true readwrite /pub/

要查看授予的权限,我们可以随时查看该角色:

$ etcdctl role get myrolename

撤消权限是按照相同的逻辑方式完成的:

$ etcdctl role revoke-permission myrolename /foo/bar

就像完全删除一个角色一样:

$ etcdctl role delete myrolename

开启身份认证


启用身份验证的最少步骤如下。 管理员可以根据喜好在启用身份验证之前或之后设置用户和角色。

确保已创建root用户:

$ etcdctl user add root
Password of root:

开启身份认证

$ etcdctl auth enable

此后,etcd在启用身份验证的情况下运行。 要出于任何原因禁用它,请使用reciprocal命令:

$ etcdctl --user root:rootpw auth disable

使用etcdctl进行身份验证


etcdctl支持类似curl的标志进行身份验证。

$ etcdctl --user user:password get foo

可以从提示符处获取密码:

$ etcdctl --user user get foo

密码也可以从命令行参数--password获取:

$ etcdctl --user user --password password get foo

否则,所有etcdctl命令均保持不变。 用户和角色仍然可以创建和修改,但是需要具有root角色的用户进行身份验证。

使用TLS通用名称


从v3.2版本开始,如果使用参数--client-cert-auth=true启动etcd服务器,则客户端的TLS证书中的“通用名称(CN)”字段将用作etcd用户。在这种情况下,公用名将对用户进行身份验证,并且客户端不需要密码。请注意,如果同时传递了1. --client-cert-auth=true且客户端提供了CN,并且客户端提供了2.用户名和密码,则将优先考虑基于用户名和密码的身份验证。请注意,此功能不能与gRPC-proxygRPC-gateway一起使用。这是因为gRPC-proxy会从其客户端终止TLS,因此所有客户端都共享代理证书。 gRPC-gateway内部使用TLS连接将HTTP请求转换为gRPC请求,因此它具有相同的限制。因此,客户端不能正确地将其CN提供给服务器。如果给定证书的CN不为空,则gRPC-proxy将导致错误并停止。 gRPC-proxy返回错误,表明客户端证书中的CN为非空。

从v3.3版本开始,如果启用了带有选项--peer-cert-allowed-cn--peer-cert-allowed-hostnameetcd服务器启动,则对等节点连接筛选。如果节点的TLS证书身份与允许的节点匹配,则节点只能加入etcd集群。有关更多详细信息,请参见etcd安全性页面

ETCD:基于角色的访问控制的更多相关文章

  1. RBAC基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  2. RBAC(Role-Based Access Control,基于角色的访问控制)

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  3. YIi 权限管理和基于角色的访问控制

    验证和授权(Authentication and Authorization) 定义身份类 (Defining Identity Class) 登录和注销(Login and Logout) 访问控制 ...

  4. RBAC(Role-Based Access Control)基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  5. 移动服务和 Azure Active Directory 中基于角色的访问控制

    编辑人员注释:本文章由 Matthew Henderson撰写 去年 11月,我们发布了 Azure Active Directory (AAD) 预览版作为移动服务身份提供程序.此举旨在为企业开 ...

  6. Azure ARM (16) 基于角色的访问控制 (Role Based Access Control, RBAC) - 使用默认的Role

    <Windows Azure Platform 系列文章目录> 今天上午刚刚和客户沟通过,趁热打铁写一篇Blog. 熟悉Microsoft Azure平台的读者都知道,在老的Classic ...

  7. 基于角色的访问控制 (RBAC)权限管理

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  8. 普通程序员看k8s基于角色的访问控制(RBAC)

    一.知识准备 ● 上一节描述了k8s的账户管理,本文描述基于角色的访问控制 ● 网上RBAC的文章非常多,具体概念大神们也解释得很详细,本文没有站在高屋建瓴的角度去描述RBAC,而是站在一个普通程序员 ...

  9. [PHP]基于角色的访问控制RBAC

    ---------------------------------------------------------------------------------------------------- ...

随机推荐

  1. 用js写直角三角形,等腰三角形,菱形

    //一. 画一个直角三角形     // 第几行   *号数     // *        1        1       // **       2        2     // ***    ...

  2. C# ling to sql 左表连接

    var begin_daily = from a in _postgreDbContext.tab1 join b in _postgreDbContext.tab2 on a.id equals b ...

  3. 更小的GIS数据格式-Geobuf

    背景 我们经常遇到直接传输gis数据到前端展示的时候,有时候数据量一稍微多点,传输速度就减慢,因为我们用于传输的json格式比较大. Geobuf介绍 Geobuf是一种用于地理数据的紧凑二进制编码. ...

  4. 扫描枪连接zebra打印机打印条码标签无需电脑

    在一些流水线生产的现场,需要及时打印条码标签,由于现场环境和空间限制,无法摆放电脑或者通过连接电脑来打印条码标签的速度太慢, 瑞科条码特提供了一套扫描枪直接连接条码打印机,扫描枪扫描条码之后直接打印输 ...

  5. RN配置 java和python环境

    安装java JDK 不推荐更改安装路径. 安装时 不要有中文 会安装jdK和jre 1==>配置新建 JAVA_HOME 具体是[编辑]==>[新建] 然后添加下两句 JAVA_HOME ...

  6. 面试连环炮系列(九):为什么ConcurrentHashMap是线程安全的

    为什么ConcurrentHashMap是线程安全的 JDK1.7中,ConcurrentHashMap使用的锁分段技术,将数据分成一段一段的存储,然后给每一段数据配一把锁,当一个线程占用锁访问其中一 ...

  7. JavaScript中常用的字符串方法

    1. charAt(x) charAt(x)返回字符串中x位置的字符,下标从 0 开始. //charAt(x) var myString = 'jQuery FTW!!!'; console.log ...

  8. ASP.NET MVC5基础-过滤器(Filters)详解

    什么是过滤器? 过滤器的类型与作用 定义过滤器 授权过滤器 动作过滤器 结果过滤器 异常处理过滤器 过滤器的使用方法 总结 什么是过滤器? 通过上一篇关于Controller控制器的文章我们知道,MV ...

  9. 关于华为模拟器eNSP-防火墙USG6000V怎么重装镜像

    一.首先关闭eNSP软件 二.打开Oracle VM VirtualBox 三.单击VirtualBox “管理 - 虚拟介质管理”,将vfw_usg.vdi下面的子链接释放然后删除 四.最后回到主界 ...

  10. Android数据库GreenDao的使用总结

    一.GreenDao的介绍 GreenDAO是一个开源的Android ORM(“对象/关系映射”),通过ORM(称为“对象/关系映射”),节省了我们在数据库开发过程的时间! 通过GreenDao,我 ...