插件自定义委托说明
CCE部分插件在使用时对计算、存储、网络以及监控等各类云服务资源存在依赖关系,需要您通过委托授权插件对各类云服务资源进行操作。为了保障您的集群安全,CCE对插件使用的凭据来源进行了一次重要的安全加固升级:
- 最小化权限:允许用户为每个插件配置单独的委托,仅授权插件所需的IAM权限,确保每个插件只能访问其工作所必需的资源和服务。
- 废弃静态凭据:不再使用Secret形式在集群里静态存储插件凭据,而是通过Pod Identity能力为Pod绑定临时、自动轮换的身份凭证。
- 插件单独配置委托当前不支持IAM 5.0信任委托。
- 废弃静态凭据仅支持v1.28.15-r80、v1.29.15-r40、v1.30.14-r40、v1.31.14-r0、v1.32.9-r0、v1.33.7-r0、v1.34.2-r0及以上版本的集群。
如果安装以上版本的插件时未配置自定义委托,CCE将自动为您创建默认的插件委托并使用,默认委托包含该插件所需的全部权限,建议您不要修改其授权内容。插件默认委托以及授权内容如下:
插件 | 版本要求 | 模块/组件 | 默认委托名 | 授权内容 |
|---|---|---|---|---|
CCE容器存储(Everest) | 2.5.1及以上 | everest-csi-controller(everest-csi-controller组件) | CCECSIAgency |
|
everest-csi-driver(everest-csi-driver组件) | CCECSIDriverAgency |
| ||
CCE集群弹性引擎 | 1.28.227、1.29.189、1.30.155、1.31.117、1.32.93、1.33.86、1.34.22及以上 | cluster-autoscaler(autoscaler组件) | CCENodeScaleAgency | CCEClusterNodeAutoscalingPolicy |
CCE密钥管理(对接DEW) | 1.1.106及以上 | dew-provider(dew-provider组件) | CCESecretEncryptAgency | CCEClusterKMSPolicy |
云原生日志采集 | 1.7.9及以上 | log-manager(log-operator、otel-collector、otel-collector-event组件) | CCELogManageAgency | CCEClusterLogPolicy |
log-reporter(fluent-bit组件) | CCELogReportAgency | 无 | ||
Volcano调度器 (仅开启在离线业务混部功能时需要配置委托) | 1.21.4及以上 | volcano(volcano-agent组件) | CCEEnhanceSchedulerAgency | CCEClusterHybirdDeployPolicy |
请勿删除插件正在使用的委托,并确保委托未过期,否则插件功能可能无法正常使用。如果误删委托,请参考误删集群使用的委托如何恢复解决。
为插件配置委托
您可以使用默认创建的委托或自定义的委托。
您的账号至少需要拥有统一身份认证服务(IAM)的以下操作权限才可以为插件创建默认委托:
- iam:agencies:createAgency:创建委托权限
- iam:permissions:grantRoleToAgency:为委托授予指定权限
安装插件时,在“委托配置”中选择“系统快速创建”,将自动创建该插件的默认委托并使用,默认委托如果已存在则不会重复创建。
如果您需要对插件使用的权限进行自定义配置,可以使用自定义委托。请确保已对创建的自定义委托授予了必须的权限,否则插件功能可能无法正常使用。
- 您需要先在统一身份认证服务控制台的委托界面创建好“云服务”类型的自定义委托,并将其授权给“云容器引擎服务 CCE”。详情请参见创建委托并授权。
- 您需要为创建的自定义委托进行授权。CCE已将插件使用时所需的权限预置为系统策略,您可以直接使用其进行授权,或者使用自定义策略。
安装插件时,在“委托配置”中选择“使用已有”,在选择委托的下拉列表中选择创建的委托。
系统策略说明
系统策略 | 策略说明 |
|---|---|
CCEClusterResourceOrderPolicy | 云容器引擎(CCE)使用包年包月资源自动订阅时必要的权限 |
CCEClusterCSIEVSPolicy | 云容器引擎(CCE)使用云硬盘(EVS)类型的容器存储时必要的权限 |
CCEClusterCSIOBSPolicy | 云容器引擎(CCE)使用对象存储(OBS)类型的容器存储时必要的权限 |
CCEClusterCSIOBSEncryptionPolicy | 云容器引擎(CCE) 使用加密的对象存储(OBS)类型的容器存储时必要的权限, 仅用于CCE委托授权 |
CCEClusterCSISFSGeneralPolicy | 云容器引擎(CCE)使用文件存储(SFS 3.0)类型的容器存储时必要的权限 |
CCEClusterCSISFSTurboPolicy | 云容器引擎(CCE)使用极速文件存储(SFS Turbo)类型的容器存储时必要的权限 |
CCEClusterCSIEVSAttachPolicy | 云容器引擎(CCE) 使用云硬盘(EVS)类型的容器存储时挂载云硬盘必要的权限, 仅用于CCE委托授权 |
CCEClusterCSIOBSMountPolicy | 云容器引擎(CCE) 使用对象存储(OBS)类型的容器存储时挂载对象存储必要的权限, 仅用于CCE委托授权 |
CCEClusterKMSPolicy | 云容器引擎(CCE)为容器挂载集群外部的加密凭据时必要的权限 |
CCEClusterLogPolicy | 云容器引擎(CCE)使用日志采集功能时必要的权限 |
CCEClusterNodeAutoscalingPolicy | 云容器引擎(CCE)使用节点弹性伸缩功能时必要的权限 |
CCEClusterVirtualKubeletPolicy | 云容器引擎(CCE)使用CCE突发弹性引擎(对接 CCI)时必要的权限 |
CCEClusterHybirdDeployPolicy | 云容器引擎(CCE)使用离线混部功能必要的权限,仅用于CCE委托授权 |
