CCE控制台的权限依赖
CCE对其他云服务有诸多依赖关系,因此在您开启IAM授权后,在CCE Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,详细说明如下:
- 依赖服务的权限配置均基于您已设置了IAM授权的CCE FullAccess或CCE ReadOnlyAccess策略权限。
- 集群显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。
- 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资源,但密钥 ( Secret )除外,密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
- 如果您设置的是单一命名空间的view权限,则看到的只能是指定命名空间下的资源。
依赖服务的权限设置
如果IAM用户需要在CCE Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限,再按如下表1增加依赖服务的角色或策略。
CCE支持细粒度的权限设置,但有如下限制说明:
- AOM不支持资源级别细粒度:当通过IAM集群资源细粒度设置特定资源操作权限之后,IAM用户在CCE控制台的总览界面查看集群监控时,将显示非细粒度关联集群的监控信息。
Console控制台功能 |
依赖服务 |
需配置角色/策略 |
---|---|---|
集群信息总览 |
应用运维管理 AOM |
|
工作负载 |
弹性负载均衡 ELB 应用运维管理 AOM NAT网关 NAT 对象存储服务 OBS |
正常创建工作负载时不依赖其他服务的权限。
|
集群管理 |
应用运维管理 AOM |
|
节点管理 |
弹性云服务器 ECS |
当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC Administrator权限。 |
服务 |
弹性负载均衡 ELB NAT网关 NAT |
正常创建时不依赖其他服务的权限。
|
存储 |
对象存储服务 OBS |
导入存储的功能需要设置CCE Administrator权限。 |
命名空间 |
/ |
无需其他依赖权限。 |
模板市场 |
/ |
当前仅支持账号、设置了CCE Administrator权限的IAM用户访问。 |
插件中心 |
/ |
支持账号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 |
权限管理 |
/ |
|
配置与密钥 |
/ |
|
帮助中心 |
/ |
无需其他依赖权限。 |
其他服务跳转 |
容器镜像服务 SWR |
为便于您快速进入CCE相关服务的控制台,在CCE控制台增加了其他服务的跳转链接,CCE默认没有这些服务的全部权限,如果IAM用户需要查看或使用其功能,请按照该服务的权限策略说明设置相应的权限策略。 |