文档首页/云容器引擎 CCE/用户指南/权限/CCE相关委托说明/系统委托说明
更新时间:2026-03-24 GMT+08:00
查看PDF
分享

系统委托说明

由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系,因此当您首次登录CCE控制台时,CCE将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。服务权限包括:
  • 计算类服务

    CCE集群创建节点时会关联创建云服务器,因此需要获取访问弹性云服务器、裸金属服务器的权限。

  • 存储类服务

    CCE支持为集群下节点和容器挂载存储,因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。

  • 网络类服务

    CCE支持集群下容器发布为对外访问的服务,因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。

  • 容器与监控类服务

    CCE集群下容器支持镜像拉取、监控和日志分析等功能,需要获取访问容器镜像、应用管理等服务的权限。

当您同意授权后,CCE将在IAM中自动创建账号委托,将账号内的其他资源操作权限委托给华为云CCE服务进行操作。关于资源委托详情,您可参考委托进行了解。

CCE自动创建的委托如下:

委托名

描述

适用集群版本

cce_admin_trust

具有除IAM管理外的全部云服务管理员权限,用于调用CCE依赖的其他云服务资源。

所有版本支持,如果存在CCEServiceAgency,优先使用CCEServiceAgency委托

cce_cluster_agency

仅包含CCE组件依赖的云服务资源操作权限,用于生成CCE集群中组件使用的临时访问凭证。

v1.21及以上版本开始支持

在v1.28.15-r90、v1.29.15-r50、v1.30.14-r50、v1.31.14-r10、v1.32.9-r10、v1.33.7-r10、v1.34.3-r0及以上版本中弃用

hss_policy_trust

集群开启主机安全后,自动将集群的管理权限授权给主机安全服务。

v1.19.16-r0、v1.21.2-r0及以上版本开始支持

CCEServiceAgency

为CCE服务提供临时访问凭据,包括CCE服务用于管理集群、节点生命周期所需的最小权限。

所有版本支持

CCEAutoClusterAgency

为集群控制面提供临时访问凭据,包括集群内部基本功能所需的最小权限。

v1.28.15-r90、v1.29.15-r50、v1.30.14-r50、v1.31.14-r10、v1.32.9-r10、v1.33.7-r10、v1.34.3-r0及以上版本

CCENodeAgency

用于对CCE集群用户节点上的组件提供临时访问凭证,包括SWR镜像仓库访问凭据、IAM访问凭证。

v1.28.15-r80、v1.29.15-r40、v1.30.14-r40、v1.31.14-r0、v1.32.9-r0、v1.33.7-r0、v1.34.2-r0及以上版本

如果当前委托不满足要求,系统会需要您重新授权创建或更新当前委托。基于最小权限原则,IAM用户在执行创建或更新委托操作时需要至少拥有统一身份认证服务(IAM)的以下操作权限:

  • iam:agencies:createAgency:创建委托权限
  • iam:permissions:revokeRoleFromAgencyOnProject:移除委托的项目服务权限
  • iam:permissions:grantRoleToAgencyOnProject:为委托授予项目服务权限
  • iam:permissions:grantRoleToAgency:为委托授予指定权限
  • iam:roles:createRole:创建自定义策略权限
  • iam:roles:updateRole:修改自定义策略权限

关于如何自定义添加云服务的操作权限,请参见自定义策略样例

cce_admin_trust委托说明

cce_admin_trust委托用于对CCE所依赖的其他云服务资源进行调用,例如创建集群、节点等场景,且该授权仅在当前区域生效。

如果您在多个区域中使用CCE服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cce_admin_trust”查看各区域的授权记录。

由于CCE对其他云服务有许多依赖,如果没有cce_admin_trust委托,可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间,建议不要在IAM自行删除或者修改“cce_admin_trust”委托。

为了提高委托安全性,CCE根据对其他云服务的依赖对“cce_admin_trust”委托权限进行了重新设计,新的委托权限已不再包含Tenant Administrator权限。当前该功能仅在部分局点支持,若您的账号下没有小于v1.21版本的集群,则控制台会提示权限变化,需要您重新授权。重新授权后会将CCE依赖的各项云服务权限添加到“cce_admin_trust”委托,并删除“cce_admin_trust”中的Tenant Administrator权限。

创建cce_admin_trust委托时将会自动创建名为“CCE admin policies”的自定义策略,请勿删除该策略。

cce_cluster_agency委托说明

cce_cluster_agency委托只包含CCE组件需要的云服务资源操作权限,用于生成CCE集群中组件使用的临时访问凭证。在集群中自动创建其他相关云服务的资源时将使用该委托权限,例如创建Ingress、创建动态存储卷等场景。

  • cce_cluster_agency委托仅支持1.21及以上版本新建的集群。
  • 创建cce_cluster_agency委托时将会自动创建名为“CCE cluster policies”的自定义策略,请勿删除该策略。

若当前cce_cluster_agency委托的权限与CCE期望的权限不同时,控制台会提示权限变化,需要您重新授权。

以下场景中,可能会出现cce_cluster_agency委托重新授权:

  • CCE组件依赖的权限可能会随版本变动而发生变化。例如新增组件需要依赖新的权限,CCE将会更新期望的权限列表,此时需要您重新为cce_cluster_agency委托授权。
  • 当您手动修改了cce_cluster_agency委托的权限时,该委托中拥有的权限与CCE期望的权限不相同,此时也会出现重新授权的提示。若您重新进行授权,该委托中手动修改的权限可能会失效。

hss_policy_trust委托说明

开启主机安全后,系统会自动创建CCEOperatePolicy策略,并将CCEOperatePolicy策略授权给hss_policy_trust委托。

CCEOperatePolicy策略权限内容如下:

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "cce:cluster:get",
                "cce:cluster:list",
                "iam:agencies:listAgencies"
            ],
            "Effect": "Allow"
        }
    ]
}

同时,开启主机安全的集群中会自动创建名称为hss-cluster-role的ClusterRole,内容如下:

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: hss-cluster-role
rules:
  - verbs:
      - '*'
    apiGroups:
      - '*'
    resources:
      - daemonsets
      - namespaces
      - configmaps
      - nodes

CCEServiceAgency委托说明

CCEServiceAgency委托为CCE服务提供临时访问凭据,包括CCE服务用于管理集群、节点生命周期所需的最小权限。在集群创建、更新、规格变更、删除,节点池弹性扩缩容、上报事件告警等管理动作时将使用该委托权限。

CCEServiceAgency委托采用“所有资源”的授权范围方案,授权的权限为CCEManagedPolicy系统策略。

  • 在使用CCE服务期间,建议不要在IAM自行删除或者修改“CCEServiceAgency”委托。如果误删委托,请参考误删集群使用的委托如何恢复解决。
  • 在进入CCE控制台集群管理界面时,系统会自动检测是否存在CCEServiceAgency委托,若不存在该委托会自动弹出 “授权说明” 窗口,您需要重新授权,或者创建集群时尝试自动创建。

CCEAutoClusterAgency委托说明

CCEAutoClusterAgency委托为集群控制面提供临时访问凭据,包括集群内部基本功能所需的最小权限。在集群中管理节点状态、上报集群事件告警、创建Service、Ingress使用弹性负载均衡时将使用该委托权限。

CCEAutoClusterAgency委托采用“所有资源”的授权范围方案,授权的权限包含以下系统策略(详情请参见系统策略说明):
  • CCEClusterManagedPolicy
  • CCEClusterTurboNetworkingPolicy
  • CCEClusterVPCNetworkingPolicy
  • CCEClusterGEIPPolicy
  • CCEClusterLoadBalancingPolicy
  • 在使用CCE服务期间,建议不要在IAM自行删除或者修改“CCEAutoClusterAgency”委托。如果误删委托,请参考误删集群使用的委托如何恢复解决。
  • CCEAutoClusterAgency委托仅在v1.28.15-r90、v1.29.15-r50、v1.30.14-r50、v1.31.14-r10、v1.32.9-r10、v1.33.7-r10、v1.34.3-r0及以上版本的集群中使用。在您创建和升级到这些版本及以上的集群时,选择“使用系统推荐委托”,如果CCEAutoClusterAgency委托不存在将会自动创建。

CCENodeAgency委托说明

CCENodeAgency委托用于对CCE集群用户节点上的组件提供临时访问凭证,包括SWR镜像仓库访问凭据、IAM访问凭证。在集群中使用default-secret拉取镜像、创建节点、通过Pod Identity获取负载委托凭证时将使用该委托权限。

CCENodeAgency委托采用“所有资源”的授权范围方案,授权的权限为CCEClusterNodePolicy系统策略(详情请参见系统策略说明)。

  • 在使用CCE服务期间,建议不要在IAM自行删除或者修改“CCENodeAgency”委托。如果误删委托,请参考误删集群使用的委托如何恢复解决。
  • CCENodeAgency委托仅在v1.28.15-r80、v1.29.15-r40、v1.30.14-r40、v1.31.14-r0、v1.32.9-r0、v1.33.7-r0、v1.34.2-r0及以上版本的集群中使用。在您创建和升级到这些版本及以上的集群时,如果CCENodeAgency委托不存在将会自动创建。
父主题: CCE相关委托说明

相关文档