授权管理
操作场景
HSS部分功能对其他云服务资源有依赖,需要您将相关云服务资源的操作权限委托给HSS,让HSS以您的身份使用执行一些任务调度和资源运维等工作,这些功能才能正常访问和使用。
当您登录HSS控制台首次使用这部分功能时,HSS将自动请求获取当前区域下的其他云服务资源权限,在您执行授权后,HSS将在IAM中自动创建名为“hss_policy_trust”的委托,并将该委托授权给HSS的内部账号“op_svc_hss”。关于资源委托详情,您可参考委托进行了解。
如果您在多个区域中使用HSS服务,则需在每个区域中分别授权云资源权限。您可前往“IAM控制台 > 委托”页签,单击“hss_policy_trust”查看各区域的授权记录。
HSS需要您委托授权的其他云服务资源权限如表1所示。
功能 |
所需权限 |
对应云服务权限 |
权限用途 |
|
---|---|---|---|---|
权限 |
授权项(Action) |
|||
容器审计(镜像仓审计) |
CTSOperatePolicy |
查询审计事件 |
cts:trace:list |
获取镜像操作日志(SWR服务的CTS日志) |
主机安装与配置 |
VPCOperatePolicy |
创建端口 |
vpc:ports:create |
创建网卡、修改安全组等,保证安装Agent使用的端口畅通 |
删除端口 |
vpc:ports:delete |
|||
创建安全组规则 |
vpc:securityGroupRules:create |
|||
删除安全组规则 |
vpc:securityGroupRules:delete |
|||
查询端口列表或详情 |
vpc:ports:get |
|||
查询网络列表或详情 |
vpc:networks:get |
|||
查询子网列表或详情 |
vpc:subnets:get |
|||
VPCEPOperatePolicy |
创建终端节点 |
vpcep:endpoints:create |
Agent和HSS云端防护中心(Master)的网络通道维护 |
|
查询终端节点列表 |
vpcep:endpoints:list |
|||
删除终端节点 |
vpcep:endpoints:delete |
|||
|
CCEOperatePolicy |
查询集群信息 |
cce:cluster:get |
管理CCE集群下的HSS-Daemonset以及Configmap的生命周期 |
查询指定项目下的集群 |
cce:cluster:list |
|||
查询指定条件下的委托列表 |
iam:agencies:listAgencies |
|||
仓库镜像定时同步 |
SWROperatePolicy |
查询组织列表 |
swr:namespace:listNamespaces |
获取SWR服务的镜像信息,包括组织、仓库和制品等。 |
查询镜像列表 |
swr:repo:listRepos |
|||
查询镜像Tag列表 |
swr:repo:listRepoTags |
|||
查询共享镜像列表 |
swr:repo:listSharedRepos |
|||
获取实例列表 |
swr:instance:list |
|||
获取同步仓库详情 |
swr:instance:getRegistry |
|||
获取仓库详情 |
swr:repository:getRepository |
|||
获取实例详情 |
swr:instance:get |
|||
获取仓库列表 |
swr:repository:listRepositories |
|||
获取制品列表 |
swr:repository:listArtifacts |
前提条件
如果执行操作的是IAM用户,请先给IAM用户授予“Security Administrator”的系统角色或“HSS AgencyOperatePolicy”的系统策略,授权详细操作请参见创建用户组并授权。
授权云服务资源权限
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航栏,选择“授权管理”页面。 ,进入
- 单击“新增授权”,弹出“新增授权”对话框。
图1 新增授权
- 勾选需要授权的权限,单击“确定”,完成授权。
容器审计、主机安装与配置、容器安装与配置功能页面,如果此前未进行授权,将无法正常使用,您也可以在功能界面上方提示处,单击“授权”,进行授权。
删除云服务资源权限
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航栏,选择“授权管理”页面。 ,进入
- 在目标权限所在行的操作列,单击“删除”,弹出“删除授权”对话框。
或者勾选多条权限,并在列表上方单击“删除”,批量删除授权。
图2 删除授权 - 确认要删除的权限信息后,在对话框中输入“DELETE”,并单击“确定”。
查看权限列表中无该权限信息,表示取消授权成功。