website/content/zh/docs/v4.1/02-quickstart/03-control-user-permissions.adoc

---
title: "控制用户权限"
linkTitle: "创建企业空间、项目、用户和平台角色"
keywords: "Kubernetes, KubeSphere, 快速入门, 用户, 权限"
description: "介绍如何创建用户，并使用企业空间、项目和角色控制用户的访问权限。"
weight: 03
---

ifeval::["{file_output_type}" == "html"]
本节介绍如何创建用户，并使用企业空间、项目和角色控制用户的访问权限。有关用户权限控制的更多信息，请参阅link:../../05-users-and-roles/[用户和角色管理]。
endif::[]

ifeval::["{file_output_type}" == "pdf"]
本节介绍如何创建用户，并使用企业空间、项目和角色控制用户的访问权限。有关用户权限控制的更多信息，请参阅《{ks_product_right}用户和角色管理指南》。
endif::[]

作为多租户系统，{ks_product_right}支持在平台、集群、企业空间和项目级别基于角色对用户的权限进行控制，实现逻辑层面的资源隔离。


== 前提条件

您需要准备一个 Kubernetes 集群，并已安装{ks_product_left}。

== 创建用户

. 使用默认用户 **admin** 和密码 **P@88w0rd** 登录{ks_product_left} Web 控制台。
+
--
// Note
include::../../../_ks_components/admonitions/note.adoc[]

为了您的账户安全，首次登录时系统会提示您修改密码。密码修改后，后续请使用新密码登录。

include::../../../_ks_components/admonitions/admonEnd.adoc[]
--

. 点击**用户和角色管理**。

. 在左侧导航栏，选择**用户**。

. 在用户列表页面，点击**创建**。

. 在**创建用户**对话框，输入以下必填参数：
+
--
* **用户名**：用户的名称。
* **邮箱**：用户的邮箱地址。
* **密码**：用户的密码。
--
+
. 点击**确定**。用户创建后将显示在用户列表中。


== 创建企业空间

. 登录{ks_product_left} Web 控制台。
. 点击**企业空间管理**，点击**创建**。
. 在**创建企业空间**的**基本信息**页面，输入企业空间的名称（例如 **demo-workspace**）。
+
--
// Note
include::../../../_ks_components/admonitions/note.adoc[]

对于多集群环境，设置企业空间的基本信息后，点击**下一步**。在**集群设置**页面，选择企业空间需要使用的集群。

include::../../../_ks_components/admonitions/admonEnd.adoc[]
--
+
. 点击**确定**。企业空间创建后将显示在企业空间列表中。


== 创建企业空间角色

. 在企业空间列表页面，点击企业空间的名称 **demo-workspace** 进入该企业空间。

. 在左侧导航栏，选择**企业空间设置** > **企业空间角色**。
+
--
企业空间角色列表页面默认列出以下四个内置角色。
[%header,cols="1a,2a"]
|===
|角色 |描述

|**workspace-viewer**
|企业空间观察员，可以查看企业空间中的所有资源。
|**workspace-self-provisioner**
|企业空间普通成员，可以查看企业空间设置、管理应用模板、创建项目。
|**workspace-regular**
|企业空间普通成员，可以查看企业空间设置。
|**workspace-admin**
|企业空间管理员，可以管理企业空间中的所有资源。
|===

// Note
include::../../../_ks_components/admonitions/note.adoc[]

企业空间内置角色的名称以 <企业空间名称>-<角色名称> 格式显示。例如，在名称为 **demo-workspace** 的企业空间中，角色 **admin** 的实际角色名称为 **demo-workspace-admin**。

include::../../../_ks_components/admonitions/admonEnd.adoc[]
--
+
. 在企业空间角色列表页面，点击**创建**。

. 在**创建企业空间角色**对话框，输入**名称**，然后点击**编辑权限**继续。

. 在**编辑权限**对话框，权限归类在不同的**功能模块**下。
+
--
在本示例中，点击**项目管理**，并为该角色选择**项目创建**、**项目管理**和**项目查看**。

// Note
include::../../../_ks_components/admonitions/note.adoc[]

**依赖于**表示当前授权项依赖所列出的授权项，勾选该权限后系统会自动选上所有依赖权限。

include::../../../_ks_components/admonitions/admonEnd.adoc[]
--
+
. 点击**确定**。新创建的角色将显示在企业空间角色列表中。


== 邀请用户到企业空间

. 在左侧导航栏，选择**企业空间设置** > **企业空间成员**。

. 在企业空间成员列表页面，点击**邀请**。

. 在**邀请成员**对话框，点击用户右侧的image:/images/ks-qkcp/zh/icons/add-dark.svg[add,18,18]并为用户分配在当前企业空间中的角色。

. 点击**确定**。用户被邀请后将显示在企业空间成员列表中。


== 创建项目

. 在左侧导航栏，选择**项目**。

. 在**项目**页签，点击**创建**。

. 在**创建项目**对话框，输入项目的**名称**（例如 **demo-project**）。
+
--
// Note
include::../../../_ks_components/admonitions/note.adoc[]

对于多集群环境，您需要选择要创建项目的集群。

include::../../../_ks_components/admonitions/admonEnd.adoc[]
--
+
. 点击**确定**。项目创建后将显示在项目列表中。


== 创建项目角色

. 在**项目**页签，点击项目的名称 **demo-project** 进入该项目。

. 在左侧导航栏，选择**项目设置** > **项目角色**。
+
--
项目角色页面默认列出以下三个内置角色。

[%autowidth]
|===
|角色 |描述

|**viewer**
|项目观察员，可以查看项目中的所有资源。

|**operator**
|项目管理员，可以管理项目中除用户和角色之外的资源。

|**admin**
|项目管理员，可以管理项目中的所有资源。
|===
--
+
. 在项目角色列表页面，点击**创建**。

. 在**创建角色**对话框，输入**名称**，然后点击**编辑权限**继续。

. 在**编辑权限**对话框，权限归类在不同的**功能模块**下。
+
--
在本示例中，点击**访问控制**，并为该角色选择**成员查看**和**角色查看**。

// Note
include::../../../_ks_components/admonitions/note.adoc[]

**依赖于**表示当前授权项依赖所列出的授权项，勾选该权限后系统会自动选上所有依赖权限。

include::../../../_ks_components/admonitions/admonEnd.adoc[]
--
+
. 点击**确定**。新创建的角色将显示在项目角色列表中。


== 邀请用户到项目

. 在左侧导航栏，选择**项目设置** > **项目成员**。

. 在项目成员列表页面，点击**邀请**。

. 在**邀请成员**对话框，点击用户右侧的image:/images/ks-qkcp/zh/icons/add-dark.svg[add,18,18]并为用户分配在当前项目中的角色。

. 点击**确定**。用户被邀请后将显示在项目成员列表中。