CCE控制台的权限依赖
CCE对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在CCE Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,详细说明如下:
- 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限,详细设置方法请参见集群权限(IAM授权)。
- 1.11.7-r2及以上版本的集群,显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。
- 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资源,但密钥 ( Secret )除外,密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
- CustomedHPA与HPA策略需要配置命名空间cluster-admin权限下才能生效。
- 如果您设置的是单一命名空间的view权限,则看到的只能是指定命名空间下的资源。
依赖服务的权限设置
如果IAM用户需要在CCE Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限,再按如下表1增加依赖服务的角色或策略。
企业项目能够实现企业不同项目间资源的分组和管理,重在资源隔离,而IAM可以实现细粒度授权,因此强烈推荐您使用IAM实现权限管理。
若您使用企业项目设置子用户权限,会有如下功能限制:
- 由于存储资源暂不支持企业项目,因此在CCE控制台,企业项目子用户查看非“Default”企业项目下集群的存储资源相关页面,存储页面中各按钮均置灰,且资源不显示。
- 在CCE控制台,集群监控获取AOM监控的接口暂不支持企业项目,因此企业项目子用户将无法查看监控相关数据。
- 在CCE控制台,由于创建节点时的密钥对查询接口不支持企业项目,因此企业项目子用户将无法使用“密钥对”登录方式,您可以选择使用“密码”登录方式。
- 为企业项目设置CCE FullAccess权限后 ,需要在IAM控制台界面中再配置ecs:availabilityZones:list权限,企业项目子用户创建节点才可以正常显示并创建,否则将提示没有ecs:availabilityZones:list权限。
CCE支持细粒度的权限设置,但有如下限制说明:
- AOM不支持资源级别细粒度:当通过IAM集群资源细粒度设置特定资源操作权限之后,IAM用户在CCE控制台的总览界面查看集群监控时,将显示非细粒度关联集群的监控信息。
- 在IAM页面设置CCE FullAccess或者CCE ReadOnlyAccess权限后,需要配置sfsturbo:*:*权限才能使用极速文件存储卷,否则IAM用户在集群下查询极速文件存储卷将失败。
Console控制台功能 |
依赖服务 |
需配置角色/策略 |
|---|---|---|
总览 |
应用运维管理 AOM |
|
工作负载 |
弹性负载均衡 ELB 应用性能管理 APM 应用运维管理 AOM NAT网关 NAT 对象存储服务 OBS 弹性文件服务 SFS |
正常创建工作负载时不依赖其他服务的权限。
|
集群管理 |
应用运维管理 AOM 费用中心 BSS |
|
节点管理 |
弹性云服务器 ECS |
当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC Administrator权限。 |
网络管理 |
弹性负载均衡 ELB NAT网关 NAT |
正常创建时不依赖其他服务的权限。
|
存储管理 |
对象存储服务 OBS 弹性文件服务 SFS 极速文件存储 EFS(SFS Turbo) |
导入存储的功能需要设置CCE Administrator权限。 |
命名空间 |
/ |
无需其他依赖权限。 |
模板市场 |
/ |
当前仅支持华为云帐号、设置了CCE Administrator权限的IAM用户访问。 |
插件管理 |
/ |
支持华为云帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 |
权限管理 |
/ |
|
配置中心 |
/ |
|
帮助中心 |
/ |
无需其他依赖权限。 |
其他服务跳转 |
容器镜像服务 SWR 应用服务网格 ASM 应用运维管理 AOM 多云容器平台 MCP 云监控服务 Cloud Eye(存储管理与节点管理的“监控”跳转) |
为便于您快速进入CCE相关服务的控制台,在CCE控制台增加了其他服务的跳转链接,CCE默认没有这些服务的全部权限,如果IAM用户需要查看或使用其功能,请按照该服务的权限策略说明设置相应的权限策略。 |
示例流程
本章节通过为IAM用户“James”增加CCE“总览”页面监控信息的查看权限为例进行演示。
IAM用户“James”在用户组“开发人员组”,“开发人员组”仅有CCE Administrator权限。而参照表1可知,CCE总览页面的监控信息还需要增加“AOM FullAccess”策略才能正常查看。
步骤一:验证用户当前权限
- 使用IAM用户“James”登录CCE控制台,IAM用户如何登录请参见IAM用户登录。
- 单击左侧导航栏中的“总览”,进入总览页面,可以看到该用户无权查看监控相关的模块信息。图2 无权查看监控信息
步骤二:为用户组增加系统策略
- IAM用户“James”退出登录,使用华为云主帐号登录CCE控制台。
- 在CCE控制台,单击左侧导航栏中的“权限管理”,在“集群权限”页签下单击“开发人员组”后的“设置权限”。图3 设置用户组权限
- 在弹出的“设置权限”窗口中,单击“去设置”。图4 设置权限
- 进入统一身份认证服务的“用户组 > 开发人员组”页面,在“用户组权限”页签下,单击“配置权限”。图5 设置用户组策略
- 在弹出的“配置权限”窗口中,选择作用范围。此处选择“区域级项目”,并在下拉框中选择需要授权的区域。图6 选择作用范围
- 在权限列表上方的搜索框中搜索“AOM”,单击“AOM FullAccess”策略并选中,单击“确定”。图7 添加AOM FullAccess策略
- 在“权限管理”页签下可以看到已经增加“AOM FullAccess”策略。图8 确认添加策略
- 返回CCE控制台,在“权限管理”的“集群权限”页签下单击右上角的刷新图标
,可以看到“AOM FullAccess”权限策略已添加成功。图9 权限策略添加成功
步骤三:验证用户新增权限
- 使用IAM用户“James”登录CCE控制台。
- 单击左侧导航栏中的“总览”,进入总览页面,可以看到该用户已有权查看监控相关的模块信息。图10 可正常查看总览页监控信息
- 为IAM用户“James”增加查看总览页监控相关的依赖服务权限完成,验证可正常查看。
