我的书签
添加书签
移除书签权限参考
了解 DC/OS 访问和权限参考
您可以通过资源和操作控制 DC/OS 访问。参阅 权限管理,了解如何控制权限的详细信息。此页面为每个可用的 DC/OS 权限提供参考。
执行
根据您的安全模式执行 DC/OS 权限。
权限
可用操作是 create, read, update, delete 和 full。按照惯例,full 表示权限支持所有其他操作标识符。操作 full 可能包括任何其他操作标识符不支持的操作。
发送到 DC/OS 组件的大多数 HTTP 请求都需要身份认证证明。这些 包括由 DC/OS CLI、DC/OS UI、DC/OS API 以及 DC/OS 组件之间内部启动的操作。某些端点的 HTTP 请求需要 额外的授权。许多 DC/OS 组件与 DC/OS 服务 帐户用户一起发布,并在首次安装集群时 单独授予必要的权限。
有几个执行请求授权的 DC/OS 组件, 例如,Admin Router, Mesos, Marathon 等。在这种情况下,它们被称为 授权者 。所有授权者均遵循 DC/OS 授权程序。以下 是 DC/OS 授权程序的高级描述。
当授权者收到对受保护资源的 HTTP 请求时, 授权者会检查 Authorization HTTP 请求报文头以获取 DC/OS 身份认证令牌。DC/OS 身份认证令牌由 授权者验证和评估。在 uid 从 DC/OS 身份验证 令牌中提取后,授权者检查是否已授予相应 DC/OS 用户 执行所请求操作的必要权限。例如, 由 uid 标识的 DC/OS 用户必须具有受保护资源 dcos:adminrouter:package 的 full 访问权限, 以便能够通过 Admin Router 访问 DC/OS 软件包 API。
对 DC/OS 集群发出的大多数 HTTP 请求都通过 Admin Router。对于许多 HTTP 端点,Admin Router 自身执行授权。例如, 由 uid 标识的 DC/OS 用户必须具有受保护资源 dcos:adminrouter:package 的 full 访问权限, 以便能够 通过 Admin Router 访问 DC/OS 软件包 API。
| 资源标识符 | 全部 | C | R | U | D |
|---|---|---|---|---|---|
dcos:adminrouter:acs控制对安全和访问管理功能的访问。 | x | ||||
dcos:adminrouter:ops:ca:ro控制对 证书颁发机构 API 只读端点和 dcos security cluster ca 命令的访问。 | x | ||||
dcos:adminrouter:ops:ca:rw控制用户对 证书颁发机构 API 所有端点和 dcos security cluster ca 命令的访问。 | x | ||||
dcos:adminrouter:ops:cockroachdb控制对 CockroachDB UI 的访问。 | x | ||||
dcos:adminrouter:ops:exhibitor控制对 Exhibitor UI 和 API 的访问。此权限允许用户在卸载服务之后。 | x | ||||
dcos:adminrouter:ops:historyservice控制对 历史服务 的访问。这包括从 Mesos 访问可能的敏感数据,例如,所有框架的名称, 其使用的资源以及每种状态中的任务数量。 | x | ||||
dcos:adminrouter:ops:mesos-dns控制对 的访问。 | x | ||||
dcos:adminrouter:ops:mesos控制对 Mesos 管理节点 UI 和 API 的访问。 | x | ||||
dcos:adminrouter:ops:metadata控制对 [元数据端点] 的访问(/cn/1.11/api/master-routes/#metadata)。 | x | ||||
dcos:adminrouter:ops:networking控制对 网络度量标准 端点的访问。 | x | ||||
控制对 Mesos 代理节点 UI 和 API 的访问。 | x | ||||
dcos:adminrouter:ops:system-health控制对 的访问。 | x | ||||
dcos:adminrouter:ops:system-logs控制对 [系统日志 API] 的访问(/cn/1.11/api/master-routes/#system)。 | x | ||||
dcos:adminrouter:ops:system-metrics控制对 系统度量标准 API 的访问。 | x | ||||
dcos:adminrouter:licensing控制对许可 API 的访问。 | x | ||||
dcos:adminrouter:package控制对 的访问,其提供对 DC/OS Universe 的访问。 | x | ||||
dcos:adminrouter:secrets控制对 密钥 Web 界面和 API 的访问。 | x | ||||
dcos:adminrouter:service[:<group-name>]/<service-name>控制对已安装的 DC/OS 服务的 Web 界面和 API 的访问。 | x | ||||
dcos:adminrouter:service:marathon控制对本地 Marathon 的访问。 | x | ||||
dcos:adminrouter:service:metronome控制对 的访问。 | x |
Mesos 权限
根据 Root Marathon 启动的应用程序只能接收为 slave_public 或 * 保留的资源供应邀约。
Marathon 和 Metronome 要求对某些受保护资源发出的 HTTP 请求必须获得授权。例如,必须为 DC/OS 用户授予对 dcos:service:marathon:marathon:services:/dev 资源的 create 操作,以便在 /dev 服务组中创建新的 Marathon 应用程序。
| 资源标识符 | 全部 | C | R | U | D |
|---|---|---|---|---|---|
dcos:service:marathon:marathon:admin:config控制对 GET /v2/info Marathon 端点 的访问。 | x | ||||
dcos:service:marathon:marathon:admin:events控制对 Marathon 事件端点 的访问。 | x | x | |||
dcos:service:marathon:marathon:admin:leader控制对 GET/DELETE /v2/leader 端点的访问。 | x | x | x | ||
dcos:service:marathon:marathon:services:/[<service-group>]控制对本地 Marathon 实例启动的 的访问。 POST /v2/group 需要 full 操作。 | x | x | x | x | x |
dcos:service:metronome:metronome:jobs[:<job-group>]控制对的访问。 | x | x | x | x | x |
密钥存储库权限
这些权限控制对 的访问。Mesos 框架必须 将权限授予其 DC/OS 服务帐户,以访问给定的密钥。如果您正在寻找有关如何使用密钥 启动 Marathon 应用程序的信息,请参阅配置服务和 pod 以使用密钥。
DC/OS 用户需要链接集群的权限。
| 资源标识符 | 全部 | C | R | U | D |
|---|---|---|---|---|---|
dcos:cluster:linker:<cluster-id>控制对单个的访问。 | x | ||||
dcos:cluster:linker:*控制对集群链接的访问。 | x | x | x | x |
