Dependencia de permisos de la consola de CCE
Algunas políticas de permisos de CCE dependen de las políticas de otros servicios en la nube. Para ver o usar otros recursos en la nube en la consola de CCE, debe habilitar la función de control de acceso de políticas del sistema de IAM y asignar políticas de dependencia para los otros servicios en la nube.
- Las políticas de dependencia se asignan según la política de FullAccess de CCE o de ReadOnlyAccess de CCE que configure. Para más detalles, consulte Permisos de clúster (basados en IAM).
- Solo los usuarios y grupos de usuarios con permisos de espacio de nombres pueden obtener el acceso de visualización a los recursos en clústeres de v1.11.7-r2 y posteriores.
- Si se concede a un usuario el acceso de vista a todos los espacios de nombres de un clúster, el usuario puede ver todos los recursos de espacio de nombres (excepto los secretos) del clúster. Para ver secretos en el clúster, el usuario debe obtener el rol admin o edit en todos los espacios de nombres del clúster.
- Las políticas de CustomedHPA y de HPA solo tienen efecto después de que se hayan configurado los permisos de administrador del clúster para el espacio de nombres.
- El rol view dentro de un solo espacio de nombres permite a los usuarios ver recursos solo en el espacio de nombres especificado.
Configuración de política de dependencia
Para conceder a un usuario de IAM los permisos para ver o usar recursos de otros servicios en la nube en la consola de CCE, primero debe conceder a la política de CCE Administrator, CCE FullAccess o CCE ReadOnlyAccess al grupo de usuarios al que pertenece el usuario y, a continuación, conceda al usuario las políticas de dependencia enumeradas en Tabla 1. Estas políticas de dependencia permitirán al usuario de IAM acceder a los recursos de otros servicios en la nube.
Enterprise projects puede agrupar y gestionar recursos en diferentes proyectos de una empresa. Por lo tanto, los recursos quedan aislados. IAM le permite implementar la autorización de grano fino. Se recomienda encarecidamente que utilice IAM para la gestión de permisos.
Si utiliza un proyecto de empresa para establecer permisos para los usuarios de IAM, se aplicarán las siguientes restricciones:
- En la consola de CCE, los proyectos empresariales no pueden invocar a la API utilizada para obtener datos de supervisión de AOM para la supervisión de clústeres. Por lo tanto, los usuarios de IAM en estos proyectos de empresa no pueden consultar datos de supervisión.
- En la consola de CCE, los proyectos de empresa no pueden invocar a la API para consultar el par de claves creado durante la creación del nodo. Por lo tanto, los usuarios de IAM en estos proyectos de empresa no pueden usar el modo de inicio de sesión de par de claves. Solo se admite el modo de inicio de sesión con contraseña.
- En la consola de CCE, los proyectos de empresa no se admiten durante la creación de plantillas. Por lo tanto, los subusuarios de proyectos de empresa no pueden utilizar la gestión de plantillas.
- Después de asignar el permiso CCE FullAccess a un proyecto de empresa, debe configurar la acción ecs:availabilityZones:list en la consola de IAM para que los usuarios del proyecto de empresa puedan crear nodos. De lo contrario, el sistema le pedirá que no tenga el permiso.
CCE admite la configuración de permisos detallados, pero tiene las siguientes restricciones:
- AOM no admite la supervisión a nivel de recursos. Después de configurar los permisos de operación en recursos específicos mediante la función de gestión de recursos de clústeres de IAM, los usuarios de IAM pueden ver la información de supervisión de clústeres en la página Panel de la consola de CCE, pero no pueden ver los datos en métricas no de grano fino.
|
Función de consola |
Servicios dependientes |
Funciones o políticas requeridas |
|---|---|---|
|
Panel |
Application Operations Management (AOM) |
|
|
Gestión de la carga de trabajo |
Elastic Load Balance (ELB) Application Performance Management (APM) Application Operations Management (AOM) NAT Gateway Object Storage Service (OBS) Scalable File Service (SFS) |
Excepto en los siguientes casos, el usuario no requiere ningún rol adicional para crear cargas de trabajo.
|
|
Gestión de clúster |
Application Operations Management (AOM) Billing Center (BSS) |
|
|
Gestión de nodos |
Elastic Cloud Server (ECS) |
Si el permiso asignado a un usuario de IAM es CCE Administrator, la creación o eliminación de un nodo requiere la política FullAccess de ECS o ECS Administrator y la política de VPC Administrator. |
|
Gestión de red |
Elastic Load Balance (ELB) NAT Gateway |
Excepto en los siguientes casos, el usuario no requiere ningún rol adicional para crear un Service.
|
|
Gestión de almacenamiento |
Object Storage Service (OBS) Scalable File Service (SFS) SFS Turbo |
El rol CCE Administrator es necesario para importar dispositivos de almacenamiento. |
|
Administración del espacio de nombres |
/ |
/ |
|
Gestión de gráficos |
/ |
Las cuentas en la nube y los usuarios de IAM con CCE Administrator asignado pueden usar esta función. |
|
Gestión de complementos |
/ |
Las cuentas en la nube y los usuarios de IAM con CCE Administrator, CCE FullAccess, or CCE ReadOnlyAccess asignados pueden usar esta función. |
|
Gestión de permisos |
/ |
|
|
Centro de configuración |
/ |
|
|
Centro de ayuda |
/ |
/ |
|
Cambio a otros servicios relacionados |
Software Repository for Container (SWR) Application Operations Management (AOM) Multi-Cloud Container Platform (MCP) |
La consola de CCE proporciona enlaces a otros servicios relacionados. Para ver o utilizar estos servicios, se deben asignar los permisos necesarios a un usuario de IAM para los servicios. |
