etcd基于角色的权限控制

官方文档: https://etcd.io/docs/v3.4.0/op-guide/authentication/

简单介绍

身份认证是在etcd2.1版本以后添加的,etcd v3 API稍微修改了身份验证特性的API和用户接口,以便更好地适应新的数据类型

特殊用户和角色

一个特殊用户: root

一个特殊角色: root

1.root用户

root用户拥有etcd的所有权限,且必须在激活身份认证之前就创建好. root用户的设计主要是出于管理的目的: 管理角色和普通用户. root用户必须具有root角色, 并且可以在etcd中进行任何修改.

2.root角色

root角色除了可以赋予root用户外, 也可以赋予任何其他用户. 具有root角色的用户具有全局读写访问权限, 并且还具有更新集群的权限. 另外, root角色授予常规集群维护的特权, 包括修改及群成员的资格, 对存储进行碎片整理以及拍摄快照.

激活身份认证

#1. 添加root角色
etcdctl role add root

#2. 添加root用户
etcdctl user add root  
(设置root密码)

#3. 给root用户授予root角色
etcdctl user grant-role root root

#4.激活auth
etcdctl auth enable

用户管理

etcdctl 的 user 子命令处理与用户账户有关的所有事情.

1.用户列表

etcdctl user list

2.创建用户

[root@etcd1-101~]# etcdctl user add 用户名
Password of 用户名:
Type password of 用户名 again for confirmation:
User root created

创建用户时需要提供一个密码，如果使用 --interactive=false选项，支持从标准输入提供，也可以使用 --new-user-password 选项提供

# --new-user-password
etcdctl --user root:123 user add Alayman --new-user-password 123

# --interactive=false
etcdctl --interactive=false --user root:123 user passwd xinwei < /etc/etcd/passwd/xinwei 

3.添加和删除用户角色

为用户添加角色
etcdctl user grant-role 用户名 角色名

为用户删除角色
etcdctl user revoke-role 用户名 角色名

角色管理

1.列出角色

etcdctl role list

2.创建新角色

etcdctl role add 角色名

角色没有密码，它只是定义了一组新的访问权限。
角色可以授予到一个单一的key上，或则一个范围的keys。
范围可以指定为[开始key，结束key) 区间，其中开始key应该按字母顺序小于词结束key。

角色的访问权限可以被赋予read（读）,write（写）,readwrite（读和写）权限

# 给 /foo 读权限
etcdctl role grant-permission 角色名 read /foo

# 给以/foo/开头的所有key赋予读权限. The prefix is equal to the range [/foo/, /foo0)
etcdctl role grant-permission 角色名 --prefix=true read /foo/

# 只给 /foo/bar 赋予写权限
etcdctl role grant-permission 角色名 write /foo/bar

# 给[key1, key5) 范围内的所有key赋予所有权限 
etcdctl role grant-permission 角色名 readwrite key1 key5

# 赋予以/pub/可有的key所有权限
etcdctl role grant-permission 角色名 --prefix=true readwrite /pub/

3.删除一个角色的权限

etcdctl role revoke-permission 角色名 /foo/bar

4.删除角色

etcdctl role delete 角色名

5.添加普通用户权限的步骤

1. 添加角色role

2. 给角色授权 role grant-permissoion

3. 添加用户 user

4. 给用户授予角色权限 user grant-role

#1. 添加角色 role
etcdctl --user root role add xinweiblog
#或者 etcdctl --user root --password (root密码) role add xinweiblog
#或者 etcdctl --user root:(root密码) role add xinweiblog

#2. 给角色授权 role grant-permission
etcdctl --user root role grant-permission xinweiblog --prefix=true readwrite/xinweiblog

#3. 添加用户 user
etcdctl --user root user add xinwei
(设置密码)

#4. 给用户授予角色权限 user grant-role
etcdctl --user root user grant-role xinweiblog
etcdctl --user root user grant-role xinwei xinweiblog

6.列出已存在的用户

etcdctl --user root:(root密码)  user list 
xinwei
root

etcdctl --user root:(root密码) role get xinweiblog
Role xinweiblog
KV Read:
    [/xinweiblog, /xinweibloh) (prefix /xinweiblog)
KV Write:
    [/xinweiblog, /xinweibloh) (prefix /xinweiblog)

7.etcdctl --help 中相关命令

role add        添加角色
role delete        删除角色
role get        获取一个角色的详细信息
role grant-permission    给角色赋予一个key的管理权限
role list        列出所有的角色
role revoke-permission    收回角色对一个key的管理权限
user add        添加用户
user delete        删除用户
user get        获取一个用户的详细信息
user grant-role        给用户赋予一个角色
user list        列出所有的用户
user passwd        修改用户密码
user revoke-role    删除用户的角色