文档首页 > > 用户指南> 权限管理> CCE Console界面的权限依赖

CCE Console界面的权限依赖

分享
更新时间: 2020/02/21 GMT+08:00

CCE对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在CCE Console界面中的各项功能需要配置相应的服务权限后才能正常查看或使用,详细说明如下:

  • 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限,详细设置方法请参见IAM系统策略授权
  • Tenant Guest权限在你开启IAM系统策略授权之后将不再生效,即无法再进入应用管理、模板市场、插件管理等CCE Console页面,也不会再有全局只读的效果。
  • 1.11.7-r2及以上版本的集群,显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。
    • 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资源,但密钥 ( Secret )除外,密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
    • 如果您设置的是单一命名空间的view权限,则看到的只能是指定命名空间下的资源。

依赖服务的权限设置

如果IAM用户需要在CCE Console界面中拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CCE FullAccess或CCE ReadOnlyAccess策略的集群权限,再按如下表格增加依赖服务的角色或策略:

表1 CCE Console中依赖服务的角色或策略

Console界面功能

依赖服务

需配置角色/策略

总览

应用运维管理 AOM

AOM FullAccess(Vision版本为1.0)

应用管理

/

当前仅支持主账号、设置了CCE Administrator的子账号或者设置了Tenant Guest的子账号访问。

工作负载

弹性负载均衡 ELB

应用性能管理 APM

应用运维管理 AOM

NAT网关 NAT

对象存储服务 OBS

弹性文件服务 SFS

正常创建工作负载时不依赖其他服务的权限。

  • 如果需要创建ELB类型的服务,需要设置ELB Service Administrator和VPC Administrator。
  • 如果需要使用Java探针,需要设置AOM FullAccess和APM FullAccess。
  • 如果需要NAT网关类型的服务,需要设置NAT Gateway Administrator。
  • 如果使用对象存储,需要全局设置OBS Administrator。
    说明:

    由于缓存的存在,对用户、用户组以及企业项目授予OBS相关的RBAC策略后,大概需要等待13分钟RBAC策略才能生效;授予OBS相关的系统策略后,大概需要等待5分钟系统策略能生效。

  • 如果使用文件存储,需要设置SFS FullAccess。

集群管理

应用运维管理 AOM

费用中心 BSS

  • 如果需要弹性扩容权限,需要设置AOM FullAccess。
  • 如果需要转包周期,需要设置BSS Administrator。

节点管理

/

无需其他依赖权限。

网络管理

弹性负载均衡 ELB

NAT网关 NAT

正常创建时不依赖其他服务的权限。

  • 如果需要创建ELB类型的服务,需要设置ELB Service Administrator或者VPC Administrator。
  • 如果需要NAT网关类型的服务,需要设置NAT Administrator。

存储管理

对象存储服务 OBS

弹性文件服务 SFS

极速文件存储 EFS(SFS Turbo)

  • 如果使用对象存储,需要全局设置OBS Administrator。
    说明:

    由于缓存的存在,对用户、用户组以及企业项目授予OBS相关的RBAC策略后,大概需要等待13分钟RBAC策略才能生效;授予OBS相关的系统策略后,大概需要等待5分钟系统策略才能生效。

  • 如果使用文件存储,需要设置SFS Administrator。
  • 如果使用极速文件存储,需要设置SFS Turbo Administrator

命名空间

/

无需其他依赖权限。

模板市场

/

当前仅支持主账号、设置了CCE Administrator的子账号或者设置了Tenant Guest的子账号访问。

插件管理

/

当前仅支持主账号、设置了CCE Administrator的子账号或者设置了Tenant Guest的子账号访问。

权限管理

/

当前仅支持主账号和设置了CCE Administrator且Security Administrator(全局级策略)的子账号访问。

配置中心

/

  • 配置项 ( ConfigMap )无需其他依赖权限。
  • 密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。

帮助中心

/

无需其他依赖权限。

其他服务跳转

容器镜像服务 SWR

应用服务网格 ASM

应用运维管理 AOM

多云容器平台 MCP

云监控服务 Cloud Eye(存储管理与节点管理的“监控”跳转)

为便于您快速进入CCE相关服务的控制台,在CCE控制台中增加了其他服务的跳转链接,CCE默认没有这些服务的全部权限,如果IAM用户需要查看或使用其功能,请按照该服务的权限策略说明设置相应的权限策略。

示例流程

本章节通过为IAM用户“James”增加CCE“总览”页面监控信息的查看权限为例进行演示。

IAM用户“James”在用户组“开发人员组”,“开发人员组”仅有CCE ReadOnlyAccess权限。而参照表1可知,CCE总览页面的监控信息还需要增加“AOM FullAccess”策略才能正常查看。

图1 依赖服务授权流程

步骤一:验证用户当前权限

  1. 使用IAM用户“James”登录CCE控制台,IAM用户登录方式请参见步骤三:使用IAM用户登录并验证权限
  2. 单击左侧导航栏中的“总览”,进入总览页面,可以看到该用户无权查看监控相关的模块信息。

    图2 无权查看监控信息

步骤二:为用户组增加系统策略

  1. IAM用户“James”退出登录,使用主账号登录CCE控制台
  2. 在CCE控制台中,单击左侧导航栏中的“权限管理”,在“集群权限”页签中单击“开发人员组”后的“设置权限”

    图3 设置用户组权限

  3. 在弹出的“设置权限”窗口中,单击“去设置”

    图4 设置权限

  4. 进入统一身份认证服务的“用户组 > 开发人员组”页面,在“用户组权限”页签中,单击“配置权限”

    图5 设置用户组策略

  5. 在弹出的“配置权限”窗口中,选择作用范围。此处选择“区域级项目”,并在下拉框中选择需要授权的区域。

    图6 选择作用范围

  6. 在权限列表上方的搜索框中搜索“AOM”,单击“AOM FullAccess”策略并选中,单击“确定”

    图7 添加AOM FullAccess策略

  7. “权限管理”页签中可以看到已经增加“AOM FullAccess”策略。

    图8 确认添加策略

  8. 返回CCE控制台,在“权限管理”“集群权限”页签下单击右上角的刷新图标,可以看到“AOM FullAccess”权限策略已添加成功。

    图9 权限策略添加成功

步骤三:验证用户新增权限

  1. 使用IAM用户“James”登录CCE控制台
  2. 单击左侧导航栏中的“总览”,进入总览页面,可以看到该用户已有权查看监控相关的模块信息。

    图10 可正常查看总览页监控信息

  3. 为IAM用户“James”增加查看总览页监控相关的依赖服务权限完成,验证可正常查看。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区