云原生成本治理委托权限说明
由于云原生成本治理在运行过程中对CCE、AOM、OBS、CBC等各类云服务有依赖关系。因此当您首次使用云原生成本治理功能时,需要具有Security Administrator权限的账户完成授权,将当前区域云资源权限授权给CCE,以此来支持成本治理功能运行需要。
为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。
- cia_admin_trust
cia_admin_trust委托用于对云原生观测功能所依赖的其他云服务资源进行调用。
如果您在多个区域中使用CCE服务的云原生观测功能,则需在每个区域中分别申请Tenant Guest、CCE Administrator、SWR Administrator的云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cia_admin_trust”查看各区域的授权记录。
- aom_admin_trust
aom_admin_trust委托的说明请参见AOM云服务授权。
由于云原生观测功能对其他云服务有许多依赖,如果没有所需的权限,可能会因为某个服务权限不足而影响云原生观测功能的正常使用。因此在使用云原生观测功能期间,请不要自行删除或者修改“cia_admin_trust”、“aom_admin_trust”委托。
优化前授予的权限
授权类型 | 权限名称 | 描述 |
|---|---|---|
CCE | IAM ReadOnlyAccess | 监控中心、告警中心获得该权限后,支持子用户访问监控中心与告警中心,因此需要获得该权限。 |
CCE | Tenant Guest | 监控中心、告警中心支持对集群关联的OBS、DNS等全局资源配置进行检查,提前发现配置问题,因此需要获得该权限。 |
CCE | CCE Administrator | 监控中心、告警中心在运行过程中需要访问CCE获取集群、节点、工作负载等信息,以此来检测对应资源的健康状态,因此需要获得该权限。 |
CCE | SWR Administrator | 监控中心、告警中心在运行过程中需要访问SWR获取镜像信息,因此需要获得该权限。 |
CCE | SMN Administrator | 监控中心、告警中心在运行过程中需要访问SMN获取联系组信息,因此需要获得该权限。 |
CCE | AOM Administrator | 监控中心、告警中心在运行过程中需要访问AOM获取监控指标信息,因此需要获得该权限。 |
CCE | LTS Administrator | 监控中心、告警中心在运行过程中需要访问LTS获取日志信息,因此需要获得该权限。 |
授权类型 | 权限名称 | 描述 |
|---|---|---|
AOM | DMS UserAccess | AOM支持用户通过DMS获取数据订阅的功能,因此需要获得该权限。 |
AOM | ECS CommonOperations | AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
AOM | CES ReadOnlyAccess | AOM支持从CES同步监控指标数据,因此需要获得该权限。 |
AOM | CCE FullAccess | AOM支持从CCE同步容器监控指标数据,因此需要获得访问权限。 |
AOM | RMS ReadOnlyAccess | AOM的CMDB支持管理云服务实例数据,因此需要获得该权限。 |
AOM | ECS ReadOnlyAccess | AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
AOM | LTS FullAccess | AOM支持访问LTS数据,因此需要获得该权限。 |
AOM | CCI FullAccess | AOM支持从CCI同步容器监控指标数据,因此需要获得该权限。 |
优化后授予的权限
策略名称 | 策略类型 | 策略范围 | 权限集合 | 权限说明 |
|---|---|---|---|---|
CCE Administrator | 系统策略 | Project | cce:*:* | CCE管理员权限 |
CIACostGlobalPolicy | 自定义策略 | Global | obs:object:GetObject | 获取对象内容、获取对象元数据 |
obs:bucket:HeadBucket | 获取桶元数据 | |||
obs:bucket:CreateBucket | 创建桶 | |||
obs:bucket:ListBucket | 列举桶内对象 | |||
OBS:*:*:object:cost/daily_cost_{region_id} | 资源对象路径限制 | |||
OBS:*:*:bucket:cce-cost-{region_id}-{domain_id} | 资源桶限制 | |||
CIACostProjectPolicy | 自定义策略 | Project | cce:cluster:get | 获取集群信息 |
cce:cluster:list | 列出所有集群 | |||
cce:addonInstance:list | 列出所有插件实例 | |||
cce:addonInstance:create | 创建插件实例 | |||
cce:addonInstance:delete | 删除插件实例 | |||
cce:addonInstance:update | 更新升级插件实例 | |||
cce:node:get | 查询节点详情 | |||
cce:node:list | 查询节点列表 | |||
cce:nodepool:list | 列出集群的所有节点池 | |||
aom:metric:set | 修改监控配置 | |||
aom:metric:get | 查询指标 | |||
aom:metric:list | 查询指标 | |||
aom:agency:get | 查询AOM云服务授权 | |||
bss:costtag:update | 激活/取消激活成本标签 | |||
bss:costtag:view | 查看成本标签 | |||
bss:costdetailreport:view | 查看成本明细OBS导出任务列表 | |||
bss:costdetailreport:update | 创建/修改/删除成本明细OBS导出任务 | |||
apm:icmgr:get | 获取AOM2.0云服务权限信息 | |||
apm:icmgr:create | 授予AOM2.0权限 |
策略名称 | 策略类型 | 策略范围 | 权限集合 | 权限说明 |
|---|---|---|---|---|
AOM Global Access | 自定义策略 | Global | rms:*:list | 查询RMS资源列表信息 |
rms:*:get | 查询某RMS资源信息 | |||
rms:resources:listTagsForResource | 查询资源标签 | |||
rms:resources:listTags | 查询项目标签 | |||
rms:resources:listResourcesByTag | 查询资源实例 | |||
AOM UserAccess | 自定义策略 | Project | lts:topics:* | 操作日志主题信息 |
lts:groups:* | 操作日志组信息 | |||
aom:metric:* | 操作指标信息(AOM) | |||
aom:cmdbSubApplication:* | 操作子应用信息(AOM) | |||
aom:cmdbResources:* | 操作资源信息(AOM) | |||
aom:cmdbEnvironment:* | 操作环境信息(AOM) | |||
aom:cmdbComponent:* | 操作组件信息(AOM) | |||
aom:cmdbApplication:* | 操作应用信息(AOM) | |||
ecs:cloudServers:showServer | 查询云服务器详情 | |||
ecs:cloudServers:list | 查询云服务器详情列表 | |||
dms:instance:get | 查看实例详情信息(DMS) | |||
ces:metrics:list | 查询指标列表(CES) | |||
ces:metricData:list | 查询指标数据(CES) | |||
cci:namespace:list | 列出所有Namespaces | |||
cce:cluster:list | 列出所有集群 | |||
cce:cluster:get | 获取集群信息 | |||
cce:node:list | 查询节点列表 | |||
cce:node:get | 查询节点详情 | |||
apm:icmgr:* | 操作采集组件 | |||
lts:*:* | 操作LTS日志信息 | |||
aom:*:list | 查询AOM列表信息 |
