IAM用户登录UCS无法获取集群或舰队怎么办?
问题描述
IAM用户登录UCS控制台,前往“容器舰队”页面后,无法获取已创建的舰队和已注册的集群(“容器舰队”和“未加入舰队的集群”页面均为空)。
解决方案
大多数IAM用户无法获取集群的问题,都和权限未设置或者设置不正确有关,IAM用户必须同时拥有UCS系统策略权限和集群资源对象操作权限,才可以获取集群信息。您需要联系管理员按照图1所示流程为自己授权。
- 管理员登录IAM控制台,为IAM用户所在用户组授予UCS系统策略权限。
根据操作范围选择授予何种系统策略。例如:查询集群、舰队的列表或详情,查询集群资源对象(包含节点、工作负载、任务、服务等),这些操作只需要授予UCS ReadOnlyAccess只读权限即可,如图2所示。
集群、舰队权限列表中展示了不同权限范围所需的最小权限,管理员依据该表格来授权就可以。
- 管理员登录UCS控制台,为IAM用户授予集群资源对象操作权限。
操作方法如下:
UCS控制台的“权限管理”仅针对本地或附着集群生效,对于华为云集群的资源操作权限,请授予CCE Administrator权限。
- 在“权限管理”页面创建权限(选择“只读权限”类型,表示对所有集群资源对象的只读权限)。
- 将创建的权限关联至舰队,或者未加入舰队的集群。
集群、舰队权限列表
|
功能 |
权限类型 |
权限范围 |
最小权限 |
|---|---|---|---|
|
容器舰队 |
管理员权限 |
|
UCS FullAccess |
|
只读权限 |
查询集群、舰队的列表或详情 |
UCS ReadOnlyAccess |
|
|
华为云集群 |
管理员权限 |
对华为云集群及所有集群资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
UCS FullAccess + CCE Administrator |
|
操作权限 |
对华为云集群及大多数集群资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。 |
UCS CommonOperations + CCE Administrator |
|
|
只读权限 |
对华为云集群及所有集群资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
UCS ReadOnlyAccess + CCE Administrator |
|
|
本地/附着集群 |
管理员权限 |
对本地/附着集群及所有集群资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
UCS FullAccess |
|
操作权限 |
对本地/附着集群及大多数集群资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。 |
UCS CommonOperations + UCS RBAC权限(需要包含namespaces资源对象的list权限) |
|
|
只读权限 |
对本地/附着集群及所有集群资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
UCS ReadOnlyAccess + UCS RBAC权限(需要包含namespaces资源对象的list权限) |
