设置集群权限
本章节通过简单的用户组授权方法,使IAM用户“James”拥有对应集群的只读权限,操作流程如示例流程所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的CCE系统策略,并结合实际需求进行选择,CCE支持的系统策略及策略间的对比,请参见CCE系统权限。若您需要对除CCE之外的其它服务授权,IAM支持服务的所有策略请参见系统权限。
配置说明
- 您需要拥有一个华为云账号,仅华为云账号或授予了CCE Administrator权限且全局设置了Security Administrator角色的IAM用户,才有权限进入CCE“权限管理”界面对其他IAM用户进行授权操作。
- 如果目标IAM用户涉及读写权限变更,只能由华为云账号授权。
- 由于IAM的安全限制,当您通过云容器引擎控制台的授权配置涉及到账号IAM授权的修改时,需要您按照页面上给出的参考策略内容和操作说明,在IAM控制台进行目标IAM用户的手动授权。
- 权限设置完成后,需退出重新登录才能生效。
示例流程
用户组是用户的集合,CCE通过IAM的用户组功能实现用户的授权。您在IAM中创建的IAM用户,需要加入特定用户组后,IAM用户才具备用户组所拥有的权限。
关于创建用户组并给用户组授权的方法,可以参考如下操作:
步骤一:创建用户组
在“统一身份认证IAM”服务控制台创建用户组,并授予具有云容器引擎只读权限的“CCE ReadOnlyAccess”策略。
用户组是用户的集合,IAM通过用户组功能实现用户的授权。您在IAM中创建的用户,需要加入特定用户组后,用户才具备用户组所拥有的权限。关于创建用户组并给用户组授权的方法,可以参考如下操作。
- 使用注册的华为云账号登录华为云,登录时请选择“账号登录”。图1 账号登录
- 在控制台首页菜单中单击“云容器引擎CCE”,进入CCE控制台。图2 从控制台首页进入CCE Console
- 单击CCE控制台左侧导航栏中的“权限管理”,单击“集群权限”页签下的“创建用户组”。图3 创建用户组
- 进入“统一身份认证服务”控制台的“创建用户组”界面,输入用户组名称(本例以“开发人员组”为例)。图4 创建用户组
单击“确定”,用户组创建完成,界面自动返回用户组列表,列表中显示新建的用户组。
步骤二:为用户组授权
- 在用户组列表中,单击新建用户组右侧的“权限配置”。图5 权限配置
在用户组权限页签下,单击列表左上方的“配置权限”。
图6 配置用户组权限
- 选择作用范围。此处选择“区域级项目”,且需要在下拉框中选择需要授权的区域。CCE服务为区域级项目,不是全局服务,两者的区别如下:
- 全局服务:服务部署时不区分物理区域,在全局区域中授权。全局服务包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。
- 区域级项目:基于区域(如华北-北京四、华南-广州等)进行部署的服务,授权后只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。
图7 选择区域级项目
- 在搜索框中搜索“CCE”,勾选需要授予用户组的权限,本例此处选择“CCE ReadOnlyAccess”。图8 选择策略
- 单击“确定”,完成用户组授权。
步骤三:创建IAM用户并加入用户组
IAM用户与企业中的实际员工或是应用程序相对应,有唯一的安全凭证,可以通过加入一个或多个用户组来获得用户组的权限。关于IAM用户的创建方式请参见如下步骤。
- 在统一身份认证服务,左侧导航窗格中,单击“用户”>“创建用户”。
- 在“创建用户”页面填写“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。图9 创建用户-填写用户信息
表1 用户信息 用户信息
说明
用户名
必填。IAM用户登录华为云的用户名,此处以“James”和“Alice”为例。
邮箱
“访问方式”选择“首次登录时设置”时必填,选择其他时选填。IAM用户绑定的邮箱,可作为子账户的登录凭证,也可由IAM用户自己绑定。
手机号
选填。IAM用户绑定的手机号,可作为子账户的登录凭证,也可由IAM用户自己绑定。
描述
选填。记录IAM用户相关信息。
- 在“创建用户”页面选择“访问方式”,完成后单击“下一步”。图10 创建用户-选择访问方式
表2 访问方式 访问方式
配置信息
说明
华为云管理控制台访问
控制台登录密码设置方式
首次登录时设置
如果您不是用户James的使用主体,建议您选择该方式,输入用户的邮箱和手机,用户James通过邮件中的一次性链接登录华为云,自行设置密码。
自动生成
仅在创建单个用户时适用,如果您本次创建2个及以上的用户,则不支持此方式。
自定义
如果您是用户James的使用主体,建议您选择该方式,设置自己的登录密码。
登录保护
开启登录保护
开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高账号安全性。
您可以选择通过手机、邮箱、虚拟MFA进行登录验证。
不开启
创建完成后,如需开启登录保护,请参见:登录保护。
编程访问
--
--
创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对华为云进行编程调用,例如,通过API调用方式访问华为云时,您可能需要使用访问密钥。
- 用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录华为云。
- 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
- 用户登录系统时,输入用户名和初始密码后,将进入“首次登录修改密码”,需要创建一个新密码,该功能可以保证用户的密码是由使用者本人所设置,防止密码泄露。
- 单击“下一步”,将用户加入到用户组(可选)。
- 选择新创建的用户组“开发人员组”。将用户加入用户组,用户将具备用户组的权限,这一过程即给该用户授权。其中“admin”为系统缺省提供的用户组,具有管理人员以及所有云服务资源的操作权限。
- 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述(可选),创建成功后即可将用户加入到新创建的用户组中。
- 单击“下一步”,IAM用户创建成功,用户列表中显示新创建的IAM用户。如果在访问方式中勾选了“编程访问”,可在此页面下载访问密钥。图11 创建用户成功
步骤四:使用IAM用户登录并验证权限
IAM用户创建完成后,可以使用新用户的用户名及身份凭证登录验证权限,即“CCE ReadOnlyAccess”权限。更多用户登录方法请参见用户登录华为云方法。
- 在华为云登录页面,单击右下角的“IAM用户登录”。图12 IAM用户登录
- 在“IAM用户登录”页面,输入账号名、用户名及用户密码,使用新创建的IAM用户登录。
- 账号名为该IAM用户所属华为云账号的名称。
- 用户名和密码为创建IAM用户“James”时输入的用户名和密码,首次登录时需要重置密码。
如果登录失败,您可以联系您的账号主体,确认用户名及密码是否正确,或是重置用户名及密码,重置方法请参见:忘记IAM用户密码。
- 使用IAM用户“James”登录成功后,进入控制台,默认区域为“华为-北京一”,请先切换至授权区域。
- 在“服务列表”中选择“云容器引擎 CCE”,返回CCE控制台主界面,对IAM用户James的集群权限进行验证。
验证方式(参考):您可以尝试创建一个集群或休眠一个已创建的集群,此时如果提示“您的权限不足。”,则表明您为James用户设置的“CCE ReadOnlyAccess”只读权限策略已生效。
