文档首页/ 华为云UCS/ 用户指南/ 权限管理/ UCS服务资源权限(IAM授权)
更新时间:2024-06-17 GMT+08:00

UCS服务资源权限(IAM授权)

UCS服务资源权限是基于IAM系统策略的授权,UCS服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对UCS资源的使用范围。

IAM通过用户组功能实现用户的授权,在给用户组授权之前,请您提前阅读用户组可以添加的UCS系统策略,以及UCS功能所需的最小权限,然后结合实际情况进行授权。若您想了解其他云服务的权限策略,请参见系统权限

授权流程

本节以授予“UCS ReadOnlyAccess”权限为例介绍为用户授权的方法,操作流程如图1所示。

图1 给用户授予UCS权限流程
  1. 创建用户组并授权

    管理员账号在IAM控制台创建用户组,并授予UCS权限,例如:UCS ReadOnlyAccess。

    UCS部署时不区分物理区域,为全局级服务。授权时,选择授权范围方案为“所有资源”。

  2. 创建用户并加入用户组

    在IAM控制台创建用户,并将其加入1中创建的用户组。

  3. 用户登录并验证权限。

    新创建的用户登录控制台,验证权限(假设当前权限仅包含UCS ReadOnlyAccess):

    • 在“服务列表”中选择华为云UCS,进入UCS总览页,单击左侧导航栏“基础设施 > 容器舰队”,如果创建舰队和注册集群时提示无访问权限,表示“UCS ReadOnlyAccess”已生效。
    • 在“服务列表”中选择除华为云UCS以外的其他服务(如弹性云服务器 ECS),若提示权限不足,表示“UCS ReadOnlyAccess”已生效。

系统策略

IAM中预置的UCS系统策略包含UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess几种类型。

  • UCS FullAccess:UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。
  • UCS CommonOperations:UCS服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。
  • UCS CIAOperations:UCS服务容器智能分析管理员权限。
  • UCS ReadOnlyAccess:UCS服务只读权限(除容器智能分析只读权限)。

您可以通过查看策略内容来了解系统策略所支持的授权项,授权项的格式为“服务名:资源类型:操作”,支持通配符号*,通配符号*表示所有。

例如,UCS FullAccess的策略内容如下所示。可以看出,该策略包含了UCS、CCE(云容器引擎)、SWR(容器镜像服务)的所有权限,AOM(应用运维管理)、SMN(应用运维管理)、DNS(云解析服务)等服务的部分资源的操作权限。

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "ucs:*:*",
                "cce:*:*",
                "swr:*:*",
                "aom:*:get",
                "aom:*:list",
                "smn:*:list",
                "dns:*:get*",
                "dns:*:list*",
                "dns:*:get",
                "dns:*:list",
                "dns:recordset:create",
                "dns:recordset:delete",
                "dns:recordset:update",
                "dns:tag:get",
                "lts:*:get",
                "lts:*:list",
                "apm:*:get",
                "apm:*:list",
                "vpcep:epservices:*",
                "vpcep:connections:*",
                "vpcep:endpoints:*",
                "elb:*:get",
                "elb:*:list",
                "vpc:*:get",
                "vpc:*:list",
                "ief:*:get",
                "ief:*:list",
                "cgs:images:operate",
                "cgs:*:get",
                "cgs:*:list"
            ],
            "Effect": "Allow"
        }
    ]
}

UCS功能所需的最小权限

华为云各服务之间存在业务交互关系,UCS也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述四种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为IAM用户授权时,应该遵循权限最小化的安全实践原则,表1列举了UCS各功能管理员、操作、只读权限所需要的最小权限。

  • 如您的华为云账号为首次登录UCS控制台,需要为其授权,同意授权后,UCS将在统一身份认证服务为您创建名为ucs_admin_trust的委托,为保证UCS服务正常使用,请不要删除或者修改该委托。
  • IAM用户所在用户组未授予任何权限的情况下,您将无法访问UCS控制台,请参考表1授予相关权限。
表1 UCS功能所需的最小权限

功能

权限类型

权限范围

最小权限

容器舰队

管理员权限

  • 创建、删除舰队
  • 注册华为云集群(CCE集群、CCE Turbo集群)、本地集群或附着集群
  • 注销集群
  • 将集群加入、移出舰队
  • 为集群或舰队关联权限
  • 开通集群联邦、联邦管理相关操作(如创建联邦工作负载、创建域名访问等)

UCS FullAccess

只读权限

查询集群、舰队的列表或详情

UCS ReadOnlyAccess

华为云集群

管理员权限

对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。

UCS FullAccess + CCE Administrator

操作权限

对华为云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。

UCS CommonOperations + CCE Administrator

只读权限

对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。

UCS ReadOnlyAccess + CCE Administrator

本地/附着/多云集群

管理员权限

本地/附着/多云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。

UCS FullAccess

操作权限

本地/附着/多云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。

UCS CommonOperations + UCS RBAC权限(需要包含namespaces资源对象的list权限)

只读权限

本地/附着/多云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。

UCS ReadOnlyAccess + UCS RBAC权限(需要包含namespaces资源对象的list权限)

镜像仓库

管理员权限

容器镜像服务的所有权限,包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。

SWR Administrator

权限管理

管理员权限

  • 创建、删除权限
  • 查看权限列表或详情
说明:

创建权限需要同时授予子用户IAM ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。

UCS FullAccess + IAM ReadOnlyAccess

只读权限

查看权限列表或详情

UCS ReadOnlyAccess + IAM ReadOnlyAccess

策略中心

管理员权限

  • 启用策略中心
  • 创建、停用策略实例
  • 查看策略列表
  • 查看策略实施详情

UCS FullAccess

只读权限

对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。

UCS CommonOperations 或 UCS ReadOnlyAccess

流量分发

管理员权限

创建流量策略、暂停调度策略、删除调度策略等操作。

(推荐)UCS CommonOperations + DNS Administrator

UCS FullAccess + DNS Administrator

只读权限

查看流量策略列表或详情

UCS ReadOnlyAccess + DNS Administrator

容器智能分析

管理员权限

  • 接入、取消接入集群
  • 查看基础设施、应用负载等多维度监控数据

UCS CIAOperations