云原生成本治理委托权限说明
由于云原生成本治理在运行过程中对CCE、AOM、OBS、CBC等各类云服务有依赖关系。因此当您首次使用云原生成本治理功能时,需要具有Security Administrator权限的账户完成授权,将当前区域云资源权限授权给CCE,以此来支持成本治理功能运行需要。
为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。
- cia_admin_trust
cia_admin_trust委托用于对云原生观测功能所依赖的其他云服务资源进行调用。
如果您在多个区域中使用CCE服务的云原生观测功能,则需在每个区域中分别申请Tenant Guest、CCE Administrator、SWR Administrator的云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cia_admin_trust”查看各区域的授权记录。
- aom_admin_trust
aom_admin_trust委托的说明请参见AOM云服务授权。
由于云原生观测功能对其他云服务有许多依赖,如果没有所需的权限,可能会因为某个服务权限不足而影响云原生观测功能的正常使用。因此在使用云原生观测功能期间,请不要自行删除或者修改“cia_admin_trust”、“aom_admin_trust”委托。
优化前授予的权限
|
授权类型 |
权限名称 |
描述 |
|---|---|---|
|
CCE |
IAM ReadOnlyAccess |
监控中心、告警中心获得该权限后,支持子用户访问监控中心与告警中心,因此需要获得该权限。 |
|
CCE |
Tenant Guest |
监控中心、告警中心支持对集群关联的OBS、DNS等全局资源配置进行检查,提前发现配置问题,因此需要获得该权限。 |
|
CCE |
CCE Administrator |
监控中心、告警中心在运行过程中需要访问CCE获取集群、节点、工作负载等信息,以此来检测对应资源的健康状态,因此需要获得该权限。 |
|
CCE |
SWR Administrator |
监控中心、告警中心在运行过程中需要访问SWR获取镜像信息,因此需要获得该权限。 |
|
CCE |
SMN Administrator |
监控中心、告警中心在运行过程中需要访问SMN获取联系组信息,因此需要获得该权限。 |
|
CCE |
AOM Administrator |
监控中心、告警中心在运行过程中需要访问AOM获取监控指标信息,因此需要获得该权限。 |
|
CCE |
LTS Administrator |
监控中心、告警中心在运行过程中需要访问LTS获取日志信息,因此需要获得该权限。 |
|
授权类型 |
权限名称 |
描述 |
|---|---|---|
|
AOM |
DMS UserAccess |
AOM支持用户通过DMS获取数据订阅的功能,因此需要获得该权限。 |
|
AOM |
ECS CommonOperations |
AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
|
AOM |
CES ReadOnlyAccess |
AOM支持从CES同步监控指标数据,因此需要获得该权限。 |
|
AOM |
CCE FullAccess |
AOM支持从CCE同步容器监控指标数据,因此需要获得访问权限。 |
|
AOM |
RMS ReadOnlyAccess |
AOM的CMDB支持管理云服务实例数据,因此需要获得该权限。 |
|
AOM |
ECS ReadOnlyAccess |
AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
|
AOM |
LTS FullAccess |
AOM支持访问LTS数据,因此需要获得该权限。 |
|
AOM |
CCI FullAccess |
AOM支持从CCI同步容器监控指标数据,因此需要获得该权限。 |
优化后授予的权限
|
策略名称 |
策略类型 |
策略范围 |
权限集合 |
权限说明 |
|---|---|---|---|---|
|
CCE Administrator |
系统策略 |
Project |
cce:*:* |
CCE管理员权限 |
|
CIACostGlobalPolicy |
自定义策略 |
Global |
obs:object:GetObject |
获取对象内容、获取对象元数据 |
|
obs:bucket:HeadBucket |
获取桶元数据 |
|||
|
obs:bucket:CreateBucket |
创建桶 |
|||
|
obs:bucket:ListBucket |
列举桶内对象 |
|||
|
OBS:*:*:object:cost/daily_cost_{region_id} |
资源对象路径限制 |
|||
|
OBS:*:*:bucket:cce-cost-{region_id}-{domain_id} |
资源桶限制 |
|||
|
CIACostProjectPolicy |
自定义策略 |
Project |
cce:cluster:get |
获取集群信息 |
|
cce:cluster:list |
列出所有集群 |
|||
|
cce:addonInstance:list |
列出所有插件实例 |
|||
|
cce:addonInstance:create |
创建插件实例 |
|||
|
cce:addonInstance:delete |
删除插件实例 |
|||
|
cce:addonInstance:update |
更新升级插件实例 |
|||
|
cce:node:get |
查询节点详情 |
|||
|
cce:node:list |
查询节点列表 |
|||
|
cce:nodepool:list |
列出集群的所有节点池 |
|||
|
aom:metric:set |
修改监控配置 |
|||
|
aom:metric:get |
查询指标 |
|||
|
aom:metric:list |
查询指标 |
|||
|
aom:agency:get |
查询AOM云服务授权 |
|||
|
bss:costtag:update |
激活/取消激活成本标签 |
|||
|
bss:costtag:view |
查看成本标签 |
|||
|
bss:costdetailreport:view |
查看成本明细OBS导出任务列表 |
|||
|
bss:costdetailreport:update |
创建/修改/删除成本明细OBS导出任务 |
|||
|
apm:icmgr:get |
获取AOM2.0云服务权限信息 |
|||
|
apm:icmgr:create |
授予AOM2.0权限 |
|
策略名称 |
策略类型 |
策略范围 |
权限集合 |
权限说明 |
|---|---|---|---|---|
|
AOM Global Access |
自定义策略 |
Global |
rms:*:list |
查询RMS资源列表信息 |
|
rms:*:get |
查询某RMS资源信息 |
|||
|
rms:resources:listTagsForResource |
查询资源标签 |
|||
|
rms:resources:listTags |
查询项目标签 |
|||
|
rms:resources:listResourcesByTag |
查询资源实例 |
|||
|
AOM UserAccess |
自定义策略 |
Project |
lts:topics:* |
操作日志主题信息 |
|
lts:groups:* |
操作日志组信息 |
|||
|
aom:metric:* |
操作指标信息(AOM) |
|||
|
aom:cmdbSubApplication:* |
操作子应用信息(AOM) |
|||
|
aom:cmdbResources:* |
操作资源信息(AOM) |
|||
|
aom:cmdbEnvironment:* |
操作环境信息(AOM) |
|||
|
aom:cmdbComponent:* |
操作组件信息(AOM) |
|||
|
aom:cmdbApplication:* |
操作应用信息(AOM) |
|||
|
ecs:cloudServers:showServer |
查询云服务器详情 |
|||
|
ecs:cloudServers:list |
查询云服务器详情列表 |
|||
|
dms:instance:get |
查看实例详情信息(DMS) |
|||
|
ces:metrics:list |
查询指标列表(CES) |
|||
|
ces:metricData:list |
查询指标数据(CES) |
|||
|
cci:namespace:list |
列出所有Namespaces |
|||
|
cce:cluster:list |
列出所有集群 |
|||
|
cce:cluster:get |
获取集群信息 |
|||
|
cce:node:list |
查询节点列表 |
|||
|
cce:node:get |
查询节点详情 |
|||
|
apm:icmgr:* |
操作采集组件 |
|||
|
lts:*:* |
操作LTS日志信息 |
|||
|
aom:*:list |
查询AOM列表信息 |
