权限管理

管理权限

DC/OS 身份和访问管理 (IAM) 系统旨在通过细粒度授权来保护资源。 每个受保护资源都有一个关联的访问控制列表 (ACL)，用于声明哪些主体可以对指定资源执行哪些操作。这是根据白名单（默认拒绝）模型执行的。

可以使用 DC/OS Web 界面、 或 DC/OS Enterprise CLI 对用户和组应用权限。每个接口提供管理访问控制条目 (ACE) 的方式。每个 ACE 包括以下信息：

• 资源标识符
• 操作标识符

必须从一组固定的操作集中选择操作标识符。可用的操作标识符是 、read、update、 delete 和 full。按照惯例， 表示权限支持所有其他操作标识符。标识符 full 可能包括任何其他操作标识符不支持的操作。

有 用于管理 DC/OS Enterprise CLI 的权限。

• dcos security org groups grant [OPTIONS] GID RID ACTION

若要从 DC/OS Enterprise CLI 管理用户的权限，请使用以下命令：

使用 API 管理权限

IAM HTTP API 提供管理用户和组权限的操作。

创建权限的常见方式有：

1. 调用 PUT /acls/{rid}，为受保护资源 {rid} 创建访问控制列表，忽略任何返回的 409 状态代码（表示它已经存在）；然后