文档首页/华为云UCS/常见问题/权限管理/如何配置UCS控制台各功能的访问权限?
更新时间:2025-12-16 GMT+08:00
查看PDF
分享

如何配置UCS控制台各功能的访问权限?

问题描述

UCS控制台的各项功能主要通过IAM进行权限控制,未经授权的用户访问UCS控制台中相应的页面,将出现“无访问权限”、“权限认证失败”等类似错误信息。

解决方案

管理员需要为用户授予UCS控制台各功能的权限,通过IAM系统策略(包括UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess)来界定用户的权限范围。

表1 UCS系统权限

系统角色/策略名称

描述

权限管理范围

类别

UCS FullAccess

UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。

集群管理、舰队管理、插件管理、策略中心、流量分发、容器智能分析。默认具有操作对应k8s资源的权限。

说明:

非华为云集群,默认具有操作对应k8s资源的权限;

华为云集群,不直接具有cce集群的rbac权限,需要到权限管理页面给cce集群授权。

系统策略

UCS CommonOperations

UCS服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。

集群get/list、舰队get/list、流量管理。默认不具有操作对应k8s资源的权限。

系统策略

UCS CIAOperations

UCS服务容器智能分析管理员权限。

ucs中容器智能分析的能力。

系统策略

UCS ReadOnlyAccess

UCS服务只读权限(除容器智能分析只读权限)。

集群get/list、舰队get/list、流量管理list、插件get/list。

系统策略

另外,华为云各服务之间存在业务交互关系,UCS也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述几种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为IAM用户授权时,应该遵循权限最小化的安全实践原则,表2列举了UCS各功能管理员、操作、只读权限所需要的最小权限。

授予用户IAM系统策略的详细操作请参见UCS服务资源权限;授予用户UCS RBAC权限的详细操作请参见集群中Kubernetes资源权限

表2 UCS功能所需的最小权限

功能

权限类型

权限范围

最小权限

容器舰队

管理员权限

  • 创建、删除舰队
  • 注册华为云集群(CCE Standard集群、CCE Turbo集群)、本地集群或附着集群
  • 注销集群
  • 将集群加入、移出舰队
  • 为集群或舰队添加权限
  • 开通集群联邦、联邦管理相关操作(如创建联邦工作负载、创建域名访问等)

UCS FullAccess

只读权限

查询集群、舰队的列表或详情

UCS ReadOnlyAccess

华为云集群

管理员权限

对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。

UCS FullAccess + CCE Administrator

操作权限

对华为云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。

UCS CommonOperations + CCE Administrator

只读权限

对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。

UCS ReadOnlyAccess + CCE Administrator

本地/附着/伙伴云集群

管理员权限

本地/附着/伙伴云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。

UCS FullAccess

操作权限

本地/附着/伙伴云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。

UCS CommonOperations + UCS RBAC权限(需要包含namespaces资源对象的list权限)

只读权限

本地/附着/伙伴云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。

UCS ReadOnlyAccess + UCS RBAC权限(需要包含namespaces资源对象的list权限)

镜像仓库

管理员权限

容器镜像服务的所有权限,包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。

SWR Administrator

权限管理

管理员权限

  • 创建、删除权限
  • 查看权限列表或详情
说明:

创建权限需要同时授予子用户IAM ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。

UCS FullAccess + IAM ReadOnlyAccess

只读权限

查看权限列表或详情

UCS ReadOnlyAccess + IAM ReadOnlyAccess

策略中心

管理员权限

  • 启用策略中心
  • 创建、停用策略实例
  • 查看策略列表
  • 查看策略实施详情

UCS FullAccess

只读权限

对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。

UCS CommonOperations 或 UCS ReadOnlyAccess

服务网格

管理员权限

应用服务网格的所有权限,包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。

UCS FullAccess + CCE Administrator

流量分发

管理员权限

创建流量策略、暂停调度策略、删除调度策略等操作。

(推荐)UCS CommonOperations + DNS Administrator

UCS FullAccess + DNS Administrator

只读权限

查看流量策略列表或详情

UCS ReadOnlyAccess + DNS Administrator

容器智能分析

管理员权限

  • 接入、取消接入集群
  • 查看基础设施、应用负载等多维度监控数据

UCS CIAOperations

云原生服务中心

管理员权限

云原生服务中心的所有权限,包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。

UCS FullAccess

只读权限

云原生服务中心的只读权限,包括查看服务列表或详情、查看实例列表或详情等操作。

UCS ReadOnlyAccess

父主题:权限管理

相关文档