CCE Console界面的权限依赖

更新时间： 2020/02/21 GMT+08:00

CCE对其他云服务有诸多依赖关系，因此在您开启IAM系统策略授权后，在CCE Console界面中的各项功能需要配置相应的服务权限后才能正常查看或使用，详细说明如下：

依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限，详细设置方法请参见IAM系统策略授权。
Tenant Guest权限在你开启IAM系统策略授权之后将不再生效，即无法再进入应用管理、模板市场、插件管理等CCE Console页面，也不会再有全局只读的效果。
1.11.7-r2及以上版本的集群，显示情况依赖于命名空间权限的设置情况，如果没有设置命名空间权限，则无法查看集群下的资源。
- 如果您设置了全部命名空间的view权限，则可以查看到对应集群的全部命名空间下的资源，但密钥 ( Secret )除外，密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
- 如果您设置的是单一命名空间的view权限，则看到的只能是指定命名空间下的资源。

依赖服务的权限设置

如果IAM用户需要在CCE Console界面中拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CCE FullAccess或CCE ReadOnlyAccess策略的集群权限，再按如下表格增加依赖服务的角色或策略：

表1 CCE Console中依赖服务的角色或策略
Console界面功能	依赖服务	需配置角色/策略
总览	应用运维管理 AOM	AOM FullAccess（Vision版本为1.0）
应用管理	/	当前仅支持主账号、设置了CCE Administrator的子账号或者设置了Tenant Guest的子账号访问。
工作负载	弹性负载均衡 ELB 应用性能管理 APM 应用运维管理 AOM NAT网关 NAT 对象存储服务 OBS 弹性文件服务 SFS	正常创建工作负载时不依赖其他服务的权限。如果需要创建ELB类型的服务，需要设置ELB Service Administrator和VPC Administrator。如果需要使用Java探针，需要设置AOM FullAccess和APM FullAccess。如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator。如果使用对象存储，需要全局设置OBS Administrator。说明：由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。如果使用文件存储，需要设置SFS FullAccess。
集群管理	应用运维管理 AOM 费用中心 BSS	如果需要弹性扩容权限，需要设置AOM FullAccess。如果需要转包周期，需要设置BSS Administrator。
节点管理	/	无需其他依赖权限。
网络管理	弹性负载均衡 ELB NAT网关 NAT	正常创建时不依赖其他服务的权限。如果需要创建ELB类型的服务，需要设置ELB Service Administrator或者VPC Administrator。如果需要NAT网关类型的服务，需要设置NAT Administrator。
存储管理	对象存储服务 OBS 弹性文件服务 SFS 极速文件存储 EFS（SFS Turbo）	如果使用对象存储，需要全局设置OBS Administrator。说明：由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略才能生效。如果使用文件存储，需要设置SFS Administrator。如果使用极速文件存储，需要设置SFS Turbo Administrator
命名空间	/	无需其他依赖权限。
模板市场	/	当前仅支持主账号、设置了CCE Administrator的子账号或者设置了Tenant Guest的子账号访问。
插件管理	/	当前仅支持主账号、设置了CCE Administrator的子账号或者设置了Tenant Guest的子账号访问。
权限管理	/	当前仅支持主账号和设置了CCE Administrator且Security Administrator（全局级策略）的子账号访问。
配置中心	/	配置项 ( ConfigMap )无需其他依赖权限。密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
帮助中心	/	无需其他依赖权限。
其他服务跳转	容器镜像服务 SWR 应用服务网格 ASM 应用运维管理 AOM 多云容器平台 MCP 云监控服务 Cloud Eye（存储管理与节点管理的“监控”跳转）	为便于您快速进入CCE相关服务的控制台，在CCE控制台中增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

示例流程

本章节通过为IAM用户“James”增加CCE“总览”页面监控信息的查看权限为例进行演示。

IAM用户“James”在用户组“开发人员组”，“开发人员组”仅有CCE ReadOnlyAccess权限。而参照表1可知，CCE总览页面的监控信息还需要增加“AOM FullAccess”策略才能正常查看。

图1 依赖服务授权流程

步骤一：验证用户当前权限

使用IAM用户“James”登录CCE控制台，IAM用户登录方式请参见步骤三：使用IAM用户登录并验证权限。
单击左侧导航栏中的“总览”，进入总览页面，可以看到该用户无权查看监控相关的模块信息。

图2 无权查看监控信息

步骤二：为用户组增加系统策略

IAM用户“James”退出登录，使用主账号登录CCE控制台。
在CCE控制台中，单击左侧导航栏中的“权限管理”，在“集群权限”页签中单击“开发人员组”后的“设置权限”。

图3 设置用户组权限
在弹出的“设置权限”窗口中，单击“去设置”。

图4 设置权限
进入统一身份认证服务的“用户组 > 开发人员组”页面，在“用户组权限”页签中，单击“配置权限”。

图5 设置用户组策略
在弹出的“配置权限”窗口中，选择作用范围。此处选择“区域级项目”，并在下拉框中选择需要授权的区域。

图6 选择作用范围
在权限列表上方的搜索框中搜索“AOM”，单击“AOM FullAccess”策略并选中，单击“确定”。

图7 添加AOM FullAccess策略
在“权限管理”页签中可以看到已经增加“AOM FullAccess”策略。

图8 确认添加策略
返回CCE控制台，在“权限管理”的“集群权限”页签下单击右上角的刷新图标，可以看到“AOM FullAccess”权限策略已添加成功。

图9 权限策略添加成功