Dependência de permissão do console do CCE
Algumas políticas de permissões de CCE dependem das políticas de outros serviços de nuvem. Para exibir ou usar outros recursos de nuvem no console do CCE, ative o recurso de controle de acesso à política de sistema do IAM e atribua políticas de dependência para os outros serviços de nuvem.
- As políticas de dependência são atribuídas com base na política CCE FullAccess ou CCE ReadOnlyAccess que você configura. Para obter detalhes, consulte Permissões de cluster (baseadas no IAM).
- Somente usuários e grupos de usuários com permissões de namespace podem obter o acesso de exibição aos recursos em clusters.
- Se um usuário receber acesso de exibição a todos os namespaces de um cluster, ele poderá exibir todos os recursos de namespace (exceto segredos) no cluster. Para exibir segredos no cluster, o usuário deve obter a função admin ou edit em todos os namespaces do cluster.
- As políticas CustomedHPA e HPA entram em vigor somente após as permissões cluster-admin serem configuradas para o namespace.
- A função view em um único namespace permite que os usuários visualizem recursos somente no namespace especificado.
Configuração da política de dependência
Para conceder a um usuário do IAM permissões para visualizar ou usar recursos de outros serviços em nuvem no console do CCE, primeiro você deve conceder as políticas CCE Administrator, CCE FullAccess ou CCE ReadOnlyAccess ao grupo de usuários ao qual o usuário pertence e, em seguida, conceder as políticas de dependência listadas em Tabela 1 ao usuário. Essas políticas de dependência permitirão que o usuário do IAM acesse recursos de outros serviços em nuvem.
Os projetos empresariais podem agrupar e gerenciar recursos em diferentes projetos de uma empresa. Os recursos são, assim, isolados. O IAM permite que você implemente uma autorização refinada. É altamente recomendável que você use o IAM para o gerenciamento de permissões.
Se você usar um projeto empresarial para definir permissões para usuários do IAM, as seguintes restrições se aplicam:
- No console do CCE, os projetos empresariais não podem chamar a API usada para obter dados de monitoramento do AOM para monitoramento de cluster. Portanto, os usuários do IAM nesses projetos empresariais não podem consultar dados de monitoramento.
- No console do CCE, os projetos empresariais não podem chamar a API para consultar o par de chaves criado durante a criação do nó. Portanto, os usuários do IAM nesses projetos empresariais não podem usar o modo de logon de par de chaves. Somente o modo de logon por senha é suportado.
- No console do CCE, não há suporte para projetos empresariais durante a criação do modelo. Portanto, os subusuários do projeto empresarial não podem usar o gerenciamento de modelo.
- Depois de atribuir a permissão CCE FullAccess a um projeto empresarial, configure a ação ecs:availabilityZones:list no console do IAM para que os usuários do projeto empresarial possam criar nós. Caso contrário, o sistema irá avisar que eles não têm a permissão.
O CCE oferece suporte à configuração de permissões refinadas, mas tem as seguintes restrições:
- O AOM não suporta monitoramento em nível de recurso. Depois que as permissões de operação em recursos específicos são configuradas usando a função refinada de gerenciamento de recursos de cluster do IAM, os usuários do IAM podem visualizar as informações de monitoramento de cluster na página Dashboard do console do CCE, mas não podem visualizar os dados em métricas não refinadas.
|
Função do console |
Serviços dependentes |
Funções ou políticas necessárias |
|---|---|---|
|
Visão geral de cluster |
Application Operations Management (AOM) |
|
|
Gerenciamento da carga de trabalho |
Elastic Load Balance (ELB) Application Performance Management (APM) Application Operations Management (AOM) NAT Gateway Object Storage Service (OBS) Scalable File Service (SFS) |
Exceto nos seguintes casos, o usuário não precisa de nenhuma função adicional para criar cargas de trabalho.
|
|
Gerenciamento de cluster |
Application Operations Management (AOM) Central de cobrança (BSS) |
|
|
Gerenciamento de nó |
Elastic Cloud Server (ECS) |
Se a permissão atribuída a um usuário do IAM for CCE Administrator, criar ou excluir um nó exigirá a política ECS FullAccess ou ECS Administrator e a política VPC Administrator. |
|
Rede |
Elastic Load Balance (ELB) NAT Gateway |
Exceto nos seguintes casos, o usuário não precisa de nenhuma função adicional para criar um Serviço.
|
|
Armazenamento do contêiner |
Object Storage Service (OBS) Scalable File Service (SFS) SFS Turbo |
A função CCE Administrator é necessária para importar dispositivos de armazenamento. |
|
Gerenciamento de namespace |
/ |
/ |
|
Gestão de gráficos |
/ |
As contas de nuvem e os usuários do IAM com a permissão CCE Administrator atribuída podem usar essa função. |
|
Gerenciamento de complementos |
/ |
As contas de nuvem e os usuários do IAM com a permissão Administrador CCE, CCE FullAccess ou CCE ReadOnlyAccess podem usar essa função. |
|
Gerenciamento de permissões |
/ |
|
|
ConfigMaps e segredos |
/ |
|
|
Central de ajuda |
/ |
/ |
|
Mudar para outros serviços relacionados |
Software Repository for Container (SWR) Application Operations Management (AOM) Multi-Cloud Container Platform (MCP) |
O console do CCE fornece links para outros serviços relacionados. Para exibir ou usar esses serviços, um usuário do IAM deve receber as permissões necessárias para os serviços. |
