文档首页/ 云容器引擎 CCE/ 用户指南/ 权限/ 插件自定义委托说明
更新时间:2026-01-31 GMT+08:00
查看PDF
分享

插件自定义委托说明

CCE部分插件在使用时对计算、存储、网络以及监控等各类云服务资源存在依赖关系,需要您通过委托授权插件对各类云服务资源进行操作。为了保障您的集群安全,CCE对插件使用的凭据来源进行了一次重要的安全加固升级:

  • 最小化权限:允许用户为每个插件配置单独的委托,仅授权插件所需的IAM权限,确保每个插件只能访问其工作所必需的资源和服务。
  • 废弃静态凭据:不再使用Secret形式在集群里静态存储插件凭据,而是通过Pod Identity能力为Pod绑定临时、自动轮换的身份凭证。
    • 插件单独配置委托当前不支持IAM 5.0信任委托。
    • 废弃静态凭据仅支持v1.28.15-r80、v1.29.15-r40、v1.30.14-r40、v1.31.14-r0、v1.32.9-r0、v1.33.7-r0、v1.34.2-r0及以上版本的集群。

如果安装以上版本的插件时未配置自定义委托,CCE将自动为您创建默认的插件委托并使用,默认委托包含该插件所需的全部权限,建议您不要修改其授权内容。插件默认委托以及授权内容如下:

插件

版本要求

模块/组件

默认委托名

授权内容

CCE容器存储(Everest)

2.5.1及以上

everest-csi-controller(everest-csi-controller组件)

CCECSIAgency
  • CCEClusterCSIEVSPolicy
  • CCEClusterCSIOBSPolicy
  • CCEClusterCSISFSGeneralPolicy
  • CCEClusterCSISFSTurboPolicy
  • CCEClusterResourceOrderPolicy
  • CCEClusterCSIOBSEncryptionPolicy

everest-csi-driver(everest-csi-driver组件)

CCECSIDriverAgency
  • CCEClusterCSIEVSAttachPolicy
  • CCEClusterCSIOBSMountPolicy

CCE集群弹性引擎

1.28.227、1.29.189、1.30.155、1.31.117、1.32.93、1.33.86、1.34.22及以上

cluster-autoscaler(autoscaler组件)

CCENodeScaleAgency

CCEClusterNodeAutoscalingPolicy

CCE密钥管理(对接DEW)

1.1.106及以上

dew-provider(dew-provider组件)

CCESecretEncryptAgency

CCEClusterKMSPolicy

云原生日志采集

1.7.9及以上

log-manager(log-operator、otel-collector、otel-collector-event组件)

CCELogManageAgency

CCEClusterLogPolicy

log-reporter(fluent-bit组件)

CCELogReportAgency

请勿删除插件正在使用的委托,并确保委托未过期,否则插件功能可能无法正常使用。如果误删委托,请参考误删集群使用的委托如何恢复解决。

为插件配置委托

您可以使用默认创建的委托或自定义的委托。

您的账号至少需要拥有统一身份认证服务(IAM)的以下操作权限才可以为插件创建默认委托:

  • iam:agencies:createAgency:创建委托权限
  • iam:permissions:grantRoleToAgency:为委托授予指定权限

安装插件时,在“委托配置”中选择“系统快速创建”,将自动创建该插件的默认委托并使用,默认委托如果已存在则不会重复创建。

如果您需要对插件使用的权限进行自定义配置,可以使用自定义委托。请确保已对创建的自定义委托授予了必须的权限,否则插件功能可能无法正常使用。

  • 您需要先在统一身份认证服务控制台的委托界面创建好“云服务”类型的自定义委托,并将其授权给“云容器引擎服务 CCE”。详情请参见创建委托并授权
  • 您需要为创建的自定义委托进行授权。CCE已将插件使用时所需的权限预置为系统策略,您可以直接使用其进行授权,或者使用自定义策略。

安装插件时,在“委托配置”中选择“使用已有”,在选择委托的下拉列表中选择创建的委托。

系统策略说明

系统策略

策略说明

CCEClusterResourceOrderPolicy

云容器引擎(CCE)使用包年包月资源自动订阅时必要的权限

CCEClusterCSIEVSPolicy

云容器引擎(CCE)使用云硬盘(EVS)类型的容器存储时必要的权限

CCEClusterCSIOBSPolicy

云容器引擎(CCE)使用对象存储(OBS)类型的容器存储时必要的权限

CCEClusterCSIOBSEncryptionPolicy

云容器引擎(CCE) 使用加密的对象存储(OBS)类型的容器存储时必要的权限, 仅用于CCE委托授权

CCEClusterCSISFSGeneralPolicy

云容器引擎(CCE)使用文件存储(SFS 3.0)类型的容器存储时必要的权限

CCEClusterCSISFSTurboPolicy

云容器引擎(CCE)使用极速文件存储(SFS Turbo)类型的容器存储时必要的权限

CCEClusterCSIEVSAttachPolicy

云容器引擎(CCE) 使用云硬盘(EVS)类型的容器存储时挂载云硬盘必要的权限, 仅用于CCE委托授权

CCEClusterCSIOBSMountPolicy

云容器引擎(CCE) 使用对象存储(OBS)类型的容器存储时挂载对象存储必要的权限, 仅用于CCE委托授权

CCEClusterKMSPolicy

云容器引擎(CCE)为容器挂载集群外部的加密凭据时必要的权限

CCEClusterLogPolicy

云容器引擎(CCE)使用日志采集功能时必要的权限

CCEClusterNodeAutoscalingPolicy

云容器引擎(CCE)使用节点弹性伸缩功能时必要的权限

CCEClusterVirtualKubeletPolicy

云容器引擎(CCE)使用CCE突发弹性引擎(对接 CCI)时必要的权限
父主题: 权限

相关文档