云原生观测委托权限说明
由于云原生观测相关的功能在运行中对监控、告警、通知服务等各类云服务资源都存在依赖关系,因此当您首次使用云原生观测相关的功能时,系统将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。
为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。
- cia_admin_trust
cia_admin_trust委托用于对云原生观测功能所依赖的其他云服务资源进行调用。
如果您在多个区域中使用CCE服务的云原生观测功能,则需在每个区域中分别申请Tenant Guest、CCE Administrator、SWR Administrator的云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cia_admin_trust”查看各区域的授权记录。
- aom_admin_trust
aom_admin_trust委托的说明请参见AOM云服务授权。
由于云原生观测功能对其他云服务有许多依赖,如果没有所需的权限,可能会因为某个服务权限不足而影响云原生观测功能的正常使用。因此在使用云原生观测功能期间,请不要自行删除或者修改“cia_admin_trust”、“aom_admin_trust”委托。
优化前授予的权限
授权类型 | 权限名称 | 描述 |
|---|---|---|
CCE | IAM ReadOnlyAccess | 监控中心、告警中心获得该权限后,支持子用户访问监控中心与告警中心,因此需要获得该权限。 |
CCE | Tenant Guest | 监控中心、告警中心支持对集群关联的OBS、DNS等全局资源配置进行检查,提前发现配置问题,因此需要获得该权限。 |
CCE | CCE Administrator | 监控中心、告警中心在运行过程中需要访问CCE获取集群、节点、工作负载等信息,以此来检测对应资源的健康状态,因此需要获得该权限。 |
CCE | SWR Administrator | 监控中心、告警中心在运行过程中需要访问SWR获取镜像信息,因此需要获得该权限。 |
CCE | SMN Administrator | 监控中心、告警中心在运行过程中需要访问SMN获取联系组信息,因此需要获得该权限。 |
CCE | AOM Administrator | 监控中心、告警中心在运行过程中需要访问AOM获取监控指标信息,因此需要获得该权限。 |
CCE | LTS Administrator | 监控中心、告警中心在运行过程中需要访问LTS获取日志信息,因此需要获得该权限。 |
授权类型 | 权限名称 | 描述 |
|---|---|---|
AOM | DMS UserAccess | AOM支持用户通过DMS获取数据订阅的功能,因此需要获得该权限。 |
AOM | ECS CommonOperations | AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
AOM | CES ReadOnlyAccess | AOM支持从CES同步监控指标数据,因此需要获得该权限。 |
AOM | CCE FullAccess | AOM支持从CCE同步容器监控指标数据,因此需要获得访问权限。 |
AOM | RMS ReadOnlyAccess | AOM的CMDB支持管理云服务实例数据,因此需要获得该权限。 |
AOM | ECS ReadOnlyAccess | AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 |
AOM | LTS FullAccess | AOM支持访问LTS数据,因此需要获得该权限。 |
AOM | CCI FullAccess | AOM支持从CCI同步容器监控指标数据,因此需要获得该权限。 |
优化后授予的权限
策略名称 | 策略类型 | 策略范围 | 权限集合 | 权限说明 |
|---|---|---|---|---|
CCE Administrator | 系统策略 | Project | cce:*:* | CCE 管理员权限 |
CIAMonitorProjectPolicy | 自定义策略 | Project | cce:cluster:get | 获取集群信息 |
cce:cluster:list | 列出所有集群 | |||
cce:addonInstance:list | 列出所有插件实例 | |||
cce:addonInstance:create | 创建插件实例 | |||
cce:addonInstance:delete | 删除插件实例 | |||
cce:addonInstance:update | 更新升级插件实例 | |||
cce:node:get | 查询节点详情 | |||
cce:node:list | 查询节点列表 | |||
cce:nodepool:list | 列出集群的所有节点池 | |||
aom:metric:set | 修改监控配置 | |||
aom:metric:get | 查询指标 | |||
aom:metric:list | 查询指标 | |||
aom:alarm:list | 查询告警列表 | |||
aom:alarm:put | 清除AOM告警 | |||
aom:actionRule:get | 通过ID查询告警联动规则 | |||
aom:actionRule:list | 查询告警联动规则 | |||
aom:actionRule:create | 创建告警联动规则 | |||
aom:actionRule:update | 更新告警联动规则 | |||
aom:actionRule:delete | 删除告警联动规则 | |||
aom:alarmRule:create | 新增阈值规则 | |||
aom:alarmRule:list | 查询告警规则 | |||
aom:alarmRule:delete | 删除单个阈值规则 | |||
aom:agency:get | 查询AOM云服务授权 | |||
lts:groups:get | 查询指定日志组 | |||
lts:groups:list | 查询日志组列表 | |||
lts:groups:create | 创建日志组 | |||
lts:logs:list | 查询日志列表 | |||
lts:topics:get | 查询指定日志主题 | |||
lts:topics:create | 创建日志主题 | |||
lts:topics:put | 更新日志主题 | |||
smn:topic:list | 主题查询权限 | |||
smn:topic:update | 主题更新权限,包括主题下添加订阅,删除订阅等操作 | |||
smn:topic:delete | 主题删除权限 | |||
smn:topic:create | 主题创建权限 | |||
vpc:securityGroups:get | 查询安全组列表或详情 | |||
vpc:vpcs:get | 查询虚拟私有云详情 | |||
vpc:subnets:get | 查询子网列表或详情 | |||
vpc:vpcs:list | 查询虚拟私有云列表 | |||
vpcep:endpoints:list | 查询终端节点列表 | |||
evs:quotas:get | 查询云硬盘配额 | |||
ecs:cloudServerQuotas:get | 查询租户配额 | |||
apm:icmgr:get | 获取AOM2.0云服务权限信息 | |||
apm:icmgr:create | 授予AOM2.0权限 |
策略名称 | 策略类型 | 策略范围 | 权限集合 | 权限说明 |
|---|---|---|---|---|
AOM Global Access | 自定义策略 | Global | rms:*:list | 查询RMS资源列表信息 |
rms:*:get | 查询某RMS资源信息 | |||
rms:resources:listTagsForResource | 查询资源标签 | |||
rms:resources:listTags | 查询项目标签 | |||
rms:resources:listResourcesByTag | 查询资源实例 | |||
AOM UserAccess | 自定义策略 | Project | lts:topics:* | 操作日志主题信息 |
lts:groups:* | 操作日志组信息 | |||
aom:metric:* | 操作指标信息(AOM) | |||
aom:cmdbSubApplication:* | 操作子应用信息(AOM) | |||
aom:cmdbResources:* | 操作资源信息(AOM) | |||
aom:cmdbEnvironment:* | 操作环境信息(AOM) | |||
aom:cmdbComponent:* | 操作组件信息(AOM) | |||
aom:cmdbApplication:* | 操作应用信息(AOM) | |||
ecs:cloudServers:showServer | 查询云服务器详情 | |||
ecs:cloudServers:list | 查询云服务器详情列表 | |||
dms:instance:get | 查看实例详情信息(DMS) | |||
ces:metrics:list | 查询指标列表(CES) | |||
ces:metricData:list | 查询指标数据(CES) | |||
cci:namespace:list | 列出所有Namespaces | |||
cce:cluster:list | 列出所有集群 | |||
cce:cluster:get | 获取集群信息 | |||
cce:node:list | 查询节点列表 | |||
cce:node:get | 查询节点详情 | |||
apm:icmgr:* | 操作采集组件 | |||
lts:*:* | 操作LTS日志信息 | |||
aom:*:list | 查询AOM列表信息 |
