更新时间:2026-04-11 GMT+08:00
委托授权说明
由于CCI在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系,因此当您首次登录CCI控制台时,CCI将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。
约束与限制
在使用CCI服务委托时,请务必遵守以下限制,以避免业务中断:
- 严禁删除委托:CCI服务依赖该服务委托来访问您的计算、存储、网络以及监控等各类云服务资源,请勿在IAM控制台删除由CCI自动创建的委托。
- 风险说明:如果删除该委托,CCI的核心功能(如Pod启动)将立即失效,并可能导致资源计费异常。
- 恢复方法:如意外删除,需重新调用创建委托API或在CCI控制台界面触发重新授权。
权限配置要求
当您使用CCI 2.0服务(包括通过控制台和API)前,需要创建和管理CCI服务委托。基于最小权限原则,IAM用户在执行创建或更新委托操作时需要至少拥有统一身份认证服务(IAM)的以下操作权限,否则会导致操作失败。
|
权限类别 |
自定义策略Action(旧版IAM) |
自定义身份策略Action(新版IAM) |
|---|---|---|
|
创建委托 |
iam:agencies:createAgency |
iam:agencies:create |
|
项目授权 |
iam:permissions:grantRoleToAgencyOnProject |
iam:agencies:grantRoleOnProject |
策略配置示例
您可以直接在IAM控制台创建自定义策略(旧版IAM)和自定义身份策略(新版IAM),在JSON视图中将以下内容复制粘贴,并授权给管理CCI的用户或用户组。
自定义策略(旧版IAM)内容:
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:agencies:createAgency",
"iam:permissions:grantRoleToAgencyOnProject"
]
}
]
}
自定义身份策略(新版IAM)内容:
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:agencies:create",
"iam:agencies:grantRoleOnProject"
]
}
]
}
