云原生观测委托权限说明
由于云原生观测相关的功能在运行中对监控、告警、通知服务等各类云服务资源都存在依赖关系,因此当您首次使用云原生观测相关的功能时,系统将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。
为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。
- cia_admin_trust
cia_admin_trust委托用于对云原生观测功能所依赖的其他云服务资源进行调用。
如果您在多个区域中使用CCE服务的云原生观测功能,则需在每个区域中分别申请Tenant Guest、CCE Administrator、SWR Administrator的云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cia_admin_trust”查看各区域的授权记录。
- aom_admin_trust
aom_admin_trust委托的说明请参见AOM云服务授权。
由于云原生观测功能对其他云服务有许多依赖,如果没有所需的权限,可能会因为某个服务权限不足而影响云原生观测功能的正常使用。因此在使用云原生观测功能期间,请不要自行删除或者修改“cia_admin_trust”、“aom_admin_trust”委托。
优化前授予的权限
|
授权类型 |
权限名称 |
描述 |
|---|---|---|
|
CCE |
IAM ReadOnlyAccess |
监控中心、告警中心获得该权限后,支持子用户访问监控中心与告警中心,因此需要获得该权限。 |
|
CCE |
Tenant Guest |
监控中心、告警中心支持对集群关联的OBS、DNS等全局资源配置进行检查,提前发现配置问题,因此需要获得该权限。 |
|
CCE |
CCE Administrator |
监控中心、告警中心在运行过程中需要访问CCE获取集群、节点、工作负载等信息,以此来检测对应资源的健康状态,因此需要获得该权限。 |
|
CCE |
SWR Administrator |
监控中心、告警中心在运行过程中需要访问SWR获取镜像信息,因此需要获得该权限。 |
|
CCE |
SMN Administrator |
监控中心、告警中心在运行过程中需要访问SMN获取联系组信息,因此需要获得该权限。 |
|
CCE |
AOM Administrator |
监控中心、告警中心在运行过程中需要访问AOM获取监控指标信息,因此需要获得该权限。 |
|
CCE |
LTS Administrator |
监控中心、告警中心在运行过程中需要访问LTS获取日志信息,因此需要获得该权限。 |
|
授权类型 |
权限名称 |
描述 |
|---|---|---|
|
AOM |
DMS UserAccess |
AOM支持用户通过DMS获取数据订阅的功能,因此需要获得该权限。 |
|
AOM |
ECS CommonOperations |
AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
|
AOM |
CES ReadOnlyAccess |
AOM支持从CES同步监控指标数据,因此需要获得该权限。 |
|
AOM |
CCE FullAccess |
AOM支持从CCE同步容器监控指标数据,因此需要获得访问权限。 |
|
AOM |
RMS ReadOnlyAccess |
AOM的CMDB支持管理云服务实例数据,因此需要获得该权限。 |
|
AOM |
ECS ReadOnlyAccess |
AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
|
AOM |
LTS FullAccess |
AOM支持访问LTS数据,因此需要获得该权限。 |
|
AOM |
CCI FullAccess |
AOM支持从CCI同步容器监控指标数据,因此需要获得该权限。 |
优化后授予的权限
|
策略名称 |
策略类型 |
策略范围 |
权限集合 |
权限说明 |
|---|---|---|---|---|
|
CCE Administrator |
系统策略 |
Project |
cce:*:* |
CCE 管理员权限 |
|
CIAMonitorProjectPolicy |
自定义策略 |
Project |
cce:cluster:get |
获取集群信息 |
|
cce:cluster:list |
列出所有集群 |
|||
|
cce:addonInstance:list |
列出所有插件实例 |
|||
|
cce:addonInstance:create |
创建插件实例 |
|||
|
cce:addonInstance:delete |
删除插件实例 |
|||
|
cce:addonInstance:update |
更新升级插件实例 |
|||
|
cce:node:get |
查询节点详情 |
|||
|
cce:node:list |
查询节点列表 |
|||
|
cce:nodepool:list |
列出集群的所有节点池 |
|||
|
aom:metric:set |
修改监控配置 |
|||
|
aom:metric:get |
查询指标 |
|||
|
aom:metric:list |
查询指标 |
|||
|
aom:alarm:list |
查询告警列表 |
|||
|
aom:alarm:put |
清除AOM告警 |
|||
|
aom:actionRule:get |
通过ID查询告警联动规则 |
|||
|
aom:actionRule:list |
查询告警联动规则 |
|||
|
aom:actionRule:create |
创建告警联动规则 |
|||
|
aom:actionRule:update |
更新告警联动规则 |
|||
|
aom:actionRule:delete |
删除告警联动规则 |
|||
|
aom:alarmRule:create |
新增阈值规则 |
|||
|
aom:alarmRule:list |
查询告警规则 |
|||
|
aom:alarmRule:delete |
删除单个阈值规则 |
|||
|
aom:agency:get |
查询AOM云服务授权 |
|||
|
lts:groups:get |
查询指定日志组 |
|||
|
lts:groups:list |
查询日志组列表 |
|||
|
lts:groups:create |
创建日志组 |
|||
|
lts:logs:list |
查询日志列表 |
|||
|
lts:topics:get |
查询指定日志主题 |
|||
|
lts:topics:create |
创建日志主题 |
|||
|
lts:topics:put |
更新日志主题 |
|||
|
smn:topic:list |
主题查询权限 |
|||
|
smn:topic:update |
主题更新权限,包括主题下添加订阅,删除订阅等操作 |
|||
|
smn:topic:delete |
主题删除权限 |
|||
|
smn:topic:create |
主题创建权限 |
|||
|
vpc:securityGroups:get |
查询安全组列表或详情 |
|||
|
vpc:vpcs:get |
查询虚拟私有云详情 |
|||
|
vpc:subnets:get |
查询子网列表或详情 |
|||
|
vpc:vpcs:list |
查询虚拟私有云列表 |
|||
|
vpcep:endpoints:list |
查询终端节点列表 |
|||
|
evs:quotas:get |
查询云硬盘配额 |
|||
|
ecs:cloudServerQuotas:get |
查询租户配额 |
|||
|
apm:icmgr:get |
获取AOM2.0云服务权限信息 |
|||
|
apm:icmgr:create |
授予AOM2.0权限 |
|
策略名称 |
策略类型 |
策略范围 |
权限集合 |
权限说明 |
|---|---|---|---|---|
|
AOM Global Access |
自定义策略 |
Global |
rms:*:list |
查询RMS资源列表信息 |
|
rms:*:get |
查询某RMS资源信息 |
|||
|
rms:resources:listTagsForResource |
查询资源标签 |
|||
|
rms:resources:listTags |
查询项目标签 |
|||
|
rms:resources:listResourcesByTag |
查询资源实例 |
|||
|
AOM UserAccess |
自定义策略 |
Project |
lts:topics:* |
操作日志主题信息 |
|
lts:groups:* |
操作日志组信息 |
|||
|
aom:metric:* |
操作指标信息(AOM) |
|||
|
aom:cmdbSubApplication:* |
操作子应用信息(AOM) |
|||
|
aom:cmdbResources:* |
操作资源信息(AOM) |
|||
|
aom:cmdbEnvironment:* |
操作环境信息(AOM) |
|||
|
aom:cmdbComponent:* |
操作组件信息(AOM) |
|||
|
aom:cmdbApplication:* |
操作应用信息(AOM) |
|||
|
ecs:cloudServers:showServer |
查询云服务器详情 |
|||
|
ecs:cloudServers:list |
查询云服务器详情列表 |
|||
|
dms:instance:get |
查看实例详情信息(DMS) |
|||
|
ces:metrics:list |
查询指标列表(CES) |
|||
|
ces:metricData:list |
查询指标数据(CES) |
|||
|
cci:namespace:list |
列出所有Namespaces |
|||
|
cce:cluster:list |
列出所有集群 |
|||
|
cce:cluster:get |
获取集群信息 |
|||
|
cce:node:list |
查询节点列表 |
|||
|
cce:node:get |
查询节点详情 |
|||
|
apm:icmgr:* |
操作采集组件 |
|||
|
lts:*:* |
操作LTS日志信息 |
|||
|
aom:*:list |
查询AOM列表信息 |
