更新时间:2024-01-04 GMT+08:00

CCE控制台的权限依赖

CCE对其他云服务有诸多依赖关系,因此在您开启IAM授权后,在CCE Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,详细说明如下:

  • 依赖服务的权限配置均基于您已设置了IAM授权的CCE FullAccess或CCE ReadOnlyAccess策略权限。
  • 集群显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。
    • 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资源,但密钥 ( Secret )除外,密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
    • 如果您设置的是单一命名空间的view权限,则看到的只能是指定命名空间下的资源。

依赖服务的权限设置

如果IAM用户需要在CCE Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限,再按如下表1增加依赖服务的角色或策略。

企业项目能够实现企业不同项目间资源的分组和管理,重在资源隔离,而IAM可以实现细粒度授权,因此强烈推荐您使用IAM实现权限管理。

若您使用企业项目设置子用户权限,会有如下功能限制:

  • 在CCE控制台,集群监控获取AOM监控的接口暂不支持企业项目,因此企业项目子用户将无法查看监控相关数据。
  • 在CCE控制台,由于创建节点时的密钥对查询接口不支持企业项目,因此企业项目子用户将无法使用“密钥对”登录方式,您可以选择使用“密码”登录方式。
  • 在CCE控制台,由于创建模板时不支持企业项目,因此企业项目子用户将无法使用模板管理。
  • 在CCE控制台,由于云硬盘查询接口不支持企业项目,因此企业项目子用户将无法使用已有云硬盘创建PV。如需使用,需要为IAM用户添加evs:volumes:get的细粒度权限。

CCE支持细粒度的权限设置,但有如下限制说明:

  • AOM不支持资源级别细粒度:当通过IAM集群资源细粒度设置特定资源操作权限之后,IAM用户在CCE控制台的总览界面查看集群监控时,将显示非细粒度关联集群的监控信息。
表1 CCE Console中依赖服务的角色或策略

Console控制台功能

依赖服务

需配置角色/策略

集群信息总览

应用运维管理 AOM

  • IAM用户设置了CCE Administrator权限后,需要增加AOM FullAccess权限后才能访问总览中的数据图表。
  • 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。

工作负载

弹性负载均衡 ELB

应用性能管理 APM

应用运维管理 AOM

NAT网关 NAT

对象存储服务 OBS

正常创建工作负载时不依赖其他服务的权限。

  • 如果需要创建ELB类型的服务,需要设置ELB FullAccess或者ELB Administrator权限,以及VPC Administrator权限。
  • 如果需要使用Java探针,需要设置AOM FullAccess和APM FullAccess权限。
  • 如果需要NAT网关类型的服务,需要设置NAT Gateway Administrator权限。
  • 如果使用对象存储,需要全局设置OBS Administrator权限。
    说明:

    由于缓存的存在,对用户、用户组以及企业项目授予OBS相关的RBAC策略后,大概需要等待13分钟RBAC策略才能生效;授予OBS相关的系统策略后,大概需要等待5分钟系统策略能生效。

集群管理

应用运维管理 AOM

  • 如果需要弹性扩容权限,需要设置AOM FullAccess权限。

节点管理

弹性云服务器 ECS

当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC Administrator权限。

服务

弹性负载均衡 ELB

NAT网关 NAT

正常创建时不依赖其他服务的权限。

  • 如果需要创建ELB类型的服务,需要设置ELB FullAccess或者ELB Administrator权限,以及VPC Administrator权限。
  • 如果需要NAT网关类型的服务,需要设置NAT Administrator权限。

存储

对象存储服务 OBS

极速文件存储 SFS Turbo

  • 如果使用对象存储,需要全局设置OBS Administrator权限。
    说明:

    由于缓存的存在,对用户、用户组以及企业项目授予OBS相关的RBAC策略后,大概需要等待13分钟RBAC策略才能生效;授予OBS相关的系统策略后,大概需要等待5分钟系统策略能生效。

  • 如果使用极速文件存储,需要设置SFS Turbo FullAccess权限

导入存储的功能需要设置CCE Administrator权限。

命名空间

/

无需其他依赖权限。

模板市场

/

当前仅支持账号、设置了CCE Administrator权限的IAM用户访问。

插件中心

/

支持账号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。

权限管理

/

  • 支持账号访问。
  • 支持设置了CCE Administrator和Security Administrator(全局级策略)权限的IAM用户访问。
  • 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问,同时还需要拥有命名空间的管理员权限(cluster-admin)

配置与密钥

/

  • 配置项 ( ConfigMap )无需其他依赖权限。
  • 密钥 ( Secret )需要在命名空间权限下设置cluster-admin、admin或者edit权限才能查看,依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。

帮助中心

/

无需其他依赖权限。

其他服务跳转

容器镜像服务 SWR

为便于您快速进入CCE相关服务的控制台,在CCE控制台增加了其他服务的跳转链接,CCE默认没有这些服务的全部权限,如果IAM用户需要查看或使用其功能,请按照该服务的权限策略说明设置相应的权限策略。