CCE服务委托变更说明

背景

为了提高CCE使用委托的安全性，提供更精细化的权限控制能力，华为云CCE服务对依赖的委托进行了调整升级：

委托权限隔离与权限最小化：按使用场景拆分委托权限，降低单点凭据泄露风险，并严格遵循最小权限原则，精准控制各组件的访问范围。
自定义委托：支持集群与插件使用自定义委托，满足用户自定义权限管控需求。

影响

旧委托将逐步停用

变化	说明
新用户（2026年4月之后）	不再创建cce_admin_trust和cce_cluster_agency委托
已有用户（2026年4月之前）	当集群、插件版本满足条件后，自动切换到新委托，不再使用旧委托。详情参见本次委托调整详细说明。

集群/插件操作可能受影响

当首次创建或升级至对应版本的集群/插件时，系统会自动创建新委托（已存在则不会重复创建）。如果您的集群版本为v1.35.1-r0及以上，请务必确保您的账号已具备以下统一身份认证服务（IAM）操作权限，否则委托创建将失败，影响集群/插件的创建和升级：

iam:agencies:createAgency：创建委托
iam:permissions:revokeRoleFromAgencyOnProject：移除委托的项目服务权限
iam:permissions:grantRoleToAgencyOnProject：为委托授予项目服务权限
iam:permissions:grantRoleToAgency：为委托授予指定权限
iam:roles:createRole：创建自定义策略
iam:roles:updateRole：修改自定义策略
iam:roles:listRoles：查询权限列表
iam:agencies:listAgencies：查询指定条件下的委托列表信息

关于本次调整新增的委托见章节调整一：委托权限隔离与权限最小化。

关于如何为账号添加统一身份认证服务（IAM）的操作权限，请参见用户需要进行的操作。

本次委托调整详细说明

调整一：委托权限隔离与权限最小化

为规避单一委托权限过大导致的凭据泄露风险，CCE 根据使用场景对委托权限进行了拆分，并严格遵循最小权限原则重新设计了授权机制。

调整前的委托体系

场景	原委托名称	适用版本
为CCE服务提供临时访问凭据，包括CCE服务用于管理集群、节点生命周期所需的最小权限。为CCE集群中控制平面的组件提供临时访问凭据为CCE集群中的各种插件提供临时访问凭据为CCE集群提供SWR镜像仓库访问凭据	cce_admin_trust	所有版本详见系统委托说明
为CCE集群中控制平面的组件提供临时访问凭据为CCE集群中的各种插件提供临时访问凭据为CCE集群提供SWR镜像仓库访问凭据	cce_cluster_agency	仅在1.21及以上集群中使用，且账户下若不存在cce_cluster_agency委托，则使用cce_admin_trust 详见系统委托说明
授权给企业主机安全服务用于查询用户当前区域下的CCE集群	hss_policy_trust	v1.19.16-r0、v1.21.2-r0及以上版本开始支持详见系统委托说明

场景

原委托名称

适用版本

为CCE服务提供临时访问凭据，包括CCE服务用于管理集群、节点生命周期所需的最小权限。
为CCE集群中控制平面的组件提供临时访问凭据
为CCE集群中的各种插件提供临时访问凭据
为CCE集群提供SWR镜像仓库访问凭据

cce_admin_trust

所有版本

详见系统委托说明

为CCE集群中控制平面的组件提供临时访问凭据
为CCE集群中的各种插件提供临时访问凭据
为CCE集群提供SWR镜像仓库访问凭据

cce_cluster_agency

仅在1.21及以上集群中使用，且账户下若不存在cce_cluster_agency委托，则使用cce_admin_trust

详见系统委托说明

授权给企业主机安全服务用于查询用户当前区域下的CCE集群

hss_policy_trust

v1.19.16-r0、v1.21.2-r0及以上版本开始支持

详见系统委托说明

调整后的委托体系

CCE新增了如下委托，用于替代旧的cce_admin_trust和cce_cluster_agency委托的职能。新用户不再创建旧委托，老用户在版本满足条件后自动切换。

场景	新委托名称	适用版本
为CCE服务提供临时访问凭据，包括CCE服务用于管理集群、节点生命周期所需的最小权限。	CCEServiceAgency	所有版本支持详见系统委托说明
为CCE集群中控制平面的组件提供临时访问凭据	CCEAutoClusterAgency（集群委托）	集群版本满足v1.28.15-r90、v1.29.15-r50、v1.30.14-r50、v1.31.14-r10、v1.32.9-r10、v1.33.7-r10、v1.34.3-r0及以上详见系统委托说明
为CCE集群中用户节点的组件提供临时访问凭证为CCE集群提供SWR镜像仓库访问凭据	CCENodeAgency	集群版本满足v1.28.15-r80、v1.29.15-r40、v1.30.14-r40、v1.31.14-r0、v1.32.9-r0、v1.33.7-r0、v1.34.2-r0及以上详见系统委托说明
为CCE集群中的插件提供临时访问凭据，且每个插件使用不同的委托说明：插件委托为按需创建：仅安装了对应插件时才会创建，未使用的插件不会创建对应委托。	当前支持以下插件委托： CCECSIAgency CCECSIDriverAgency CCENodeScaleAgency CCESecretEncryptAgency CCELogManageAgency CCELogReportAgency CCEEnhanceSchedulerAgency	各插件支持新委托的版本详见插件自定义委托说明

调整二：支持集群/插件使用自定义委托

默认情况下，CCE集群和插件使用CCE创建的默认委托，如果您需要自定义权限管控，则可配置自定义委托。

关于自定义委托的说明详见集群自定义委托说明和插件自定义委托说明。

用户需要进行的操作

使用的集群版本为 v1.35.1-r0 及以上，需确保账号具备统一身份认证服务（IAM）的委托操作权限，否则委托创建将失败，影响集群/插件的创建和升级

如果您的账号属于以下几种场景，则本身已具备IAM委托操作权限，无需进行额外授权。

管理员账号
admin用户组中的用户：IAM默认用户组admin中的用户
授予了“Security Administrator”权限的用户

为账号授予IAM委托操作权限

登录统一身份认证服务（IAM），创建以下自定义权限策略，具体创建步骤请参见创建自定义策略。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:agencies:createAgency",
                "iam:permissions:revokeRoleFromAgencyOnProject",
                "iam:permissions:grantRoleToAgencyOnProject",
                "iam:permissions:grantRoleToAgency",
                "iam:roles:createRole",
                "iam:roles:updateRole",
                "iam:roles:listRoles",
                "iam:agencies:listAgencies"
            ]
        }
    ]
}