系统委托说明
当您同意授权后,CCE将在IAM中自动创建账号委托,将账号内的其他资源操作权限委托给华为云CCE服务进行操作。关于资源委托详情,您可参考委托进行了解。
CCE自动创建的委托如下:
- cce_admin_trust:具有除IAM管理外的全部云服务管理员权限,用于调用CCE依赖的其他云服务资源。
- cce_cluster_agency:仅包含CCE组件依赖的云服务资源操作权限,用于生成CCE集群中组件使用的临时访问凭证。
- hss_policy_trust:集群开启主机安全后,自动将集群的管理权限授权给主机安全服务。

基于最小权限原则,IAM用户在执行创建或更新委托操作时需要至少拥有统一身份认证服务(IAM)的以下操作权限:
- iam:agencies:createAgency:创建委托权限
- iam:permissions:revokeRoleFromAgencyOnProject:移除委托的项目服务权限
- iam:permissions:grantRoleToAgencyOnProject:为委托授予项目服务权限
- iam:roles:createRole:创建自定义策略权限
- iam:roles:updateRole:修改自定义策略权限
关于如何自定义添加云服务的操作权限,请参见自定义策略。
cce_admin_trust委托说明
cce_admin_trust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限,用于对CCE所依赖的其他云服务资源进行调用,例如创建集群、节点等场景,且该授权仅在当前区域生效。
如果您在多个区域中使用CCE服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cce_admin_trust”查看各区域的授权记录。
由于CCE对其他云服务有许多依赖,如果没有Tenant Administrator权限,可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间,请不要自行删除或者修改“cce_admin_trust”委托。

为了提高委托安全性,CCE根据对其他云服务的依赖对“cce_admin_trust”委托权限进行了重新设计,新的委托权限已不再包含Tenant Administrator权限。当前该功能仅在部分局点支持,若您的账号下没有小于v1.21版本的集群,则控制台会提示权限变化,需要您重新授权。重新授权后会将CCE依赖的各项云服务权限添加到“cce_admin_trust”委托,并删除“cce_admin_trust”中的Tenant Administrator权限。
创建cce_admin_trust委托时将会自动创建名为“CCE admin policies”的自定义策略,请勿删除该策略。
cce_cluster_agency委托说明
cce_cluster_agency委托没有Tenant Administrator系统角色,只包含CCE组件需要的云服务资源操作权限,用于生成CCE集群中组件使用的临时访问凭证。在集群中自动创建其他相关云服务的资源时将使用该委托权限,例如创建Ingress、创建动态存储卷等场景。

- cce_cluster_agency委托仅支持1.21及以上版本新建的集群。
- 创建cce_cluster_agency委托时将会自动创建名为“CCE cluster policies”的自定义策略,请勿删除该策略。
若当前cce_cluster_agency委托的权限与CCE期望的权限不同时,控制台会提示权限变化,需要您重新授权。
以下场景中,可能会出现cce_cluster_agency委托重新授权:
- CCE组件依赖的权限可能会随版本变动而发生变化。例如新增组件需要依赖新的权限,CCE将会更新期望的权限列表,此时需要您重新为cce_cluster_agency委托授权。
- 当您手动修改了cce_cluster_agency委托的权限时,该委托中拥有的权限与CCE期望的权限不相同,此时也会出现重新授权的提示。若您重新进行授权,该委托中手动修改的权限可能会失效。
hss_policy_trust委托说明
开启主机安全后,系统会自动创建CCEOperatePolicy策略,并将CCEOperatePolicy策略授权给hss_policy_trust委托。
CCEOperatePolicy策略权限内容如下:
{ "Version": "1.1", "Statement": [ { "Action": [ "cce:cluster:get", "cce:cluster:list", "iam:agencies:listAgencies" ], "Effect": "Allow" } ] }
同时,开启主机安全的集群中会自动创建名称为hss-cluster-role的ClusterRole,内容如下:
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: hss-cluster-role rules: - verbs: - '*' apiGroups: - '*' resources: - daemonsets - namespaces - configmaps - nodes