UCS服务资源权限(IAM授权)
UCS服务资源权限是基于IAM系统策略的授权,UCS服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对UCS资源的使用范围。
IAM通过用户组功能实现用户的授权,在给用户组授权之前,请您提前阅读用户组可以添加的UCS系统策略,以及UCS功能所需的最小权限,然后结合实际情况进行授权。若您想了解其他云服务的权限策略,请参见系统权限。
授权流程
本节以授予“UCS ReadOnlyAccess”权限为例介绍为用户授权的方法,操作流程如图1所示。
- 创建用户组并授权。
管理员账号在IAM控制台创建用户组,并授予UCS权限,例如:UCS ReadOnlyAccess。
UCS部署时不区分物理区域,为全局级服务。授权时,选择授权范围方案为“所有资源”。
- 创建用户并加入用户组。
在IAM控制台创建用户,并将其加入1中创建的用户组。
- 用户登录并验证权限。
新创建的用户登录控制台,验证权限(假设当前权限仅包含UCS ReadOnlyAccess):
- 在“服务列表”中选择华为云UCS,进入UCS总览页,单击左侧导航栏“基础设施 > 容器舰队”,如果创建舰队和注册集群时提示无访问权限,表示“UCS ReadOnlyAccess”已生效。
- 在“服务列表”中选择除华为云UCS以外的其他服务(如弹性云服务器 ECS),若提示权限不足,表示“UCS ReadOnlyAccess”已生效。
系统策略
IAM中预置的UCS系统策略包含UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess几种类型。
- UCS FullAccess:UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。
- UCS CommonOperations:UCS服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。
- UCS CIAOperations:UCS服务容器智能分析管理员权限。
- UCS ReadOnlyAccess:UCS服务只读权限(除容器智能分析只读权限)。
您可以通过查看策略内容来了解系统策略所支持的授权项,授权项的格式为“服务名:资源类型:操作”,支持通配符号*,通配符号*表示所有。
例如,UCS FullAccess的策略内容如下所示。可以看出,该策略包含了UCS、CCE(云容器引擎)、SWR(容器镜像服务)的所有权限,AOM(应用运维管理)、SMN(应用运维管理)、DNS(云解析服务)等服务的部分资源的操作权限。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ucs:*:*",
"cce:*:*",
"swr:*:*",
"aom:*:get",
"aom:*:list",
"smn:*:list",
"dns:*:get*",
"dns:*:list*",
"dns:*:get",
"dns:*:list",
"dns:recordset:create",
"dns:recordset:delete",
"dns:recordset:update",
"dns:tag:get",
"lts:*:get",
"lts:*:list",
"apm:*:get",
"apm:*:list",
"vpcep:epservices:*",
"vpcep:connections:*",
"vpcep:endpoints:*",
"elb:*:get",
"elb:*:list",
"vpc:*:get",
"vpc:*:list",
"ief:*:get",
"ief:*:list",
"cgs:images:operate",
"cgs:*:get",
"cgs:*:list"
],
"Effect": "Allow"
}
]
}
UCS功能所需的最小权限
华为云各服务之间存在业务交互关系,UCS也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述四种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为IAM用户授权时,应该遵循权限最小化的安全实践原则,表1列举了UCS各功能管理员、操作、只读权限所需要的最小权限。
- 如您的华为云账号为首次登录UCS控制台,需要为其授权,同意授权后,UCS将在统一身份认证服务为您创建名为ucs_admin_trust的委托,为保证UCS服务正常使用,请不要删除或者修改该委托。
- IAM用户所在用户组未授予任何权限的情况下,您将无法访问UCS控制台,请参考表1授予相关权限。
|
功能 |
权限类型 |
权限范围 |
最小权限 |
|---|---|---|---|
|
容器舰队 |
管理员权限 |
|
UCS FullAccess |
|
只读权限 |
查询集群、舰队的列表或详情 |
UCS ReadOnlyAccess |
|
|
华为云集群 |
管理员权限 |
对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
UCS FullAccess + CCE Administrator |
|
操作权限 |
对华为云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。 |
UCS CommonOperations + CCE Administrator |
|
|
只读权限 |
对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
UCS ReadOnlyAccess + CCE Administrator |
|
|
本地/附着/多云/伙伴云集群 |
管理员权限 |
本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
UCS FullAccess |
|
操作权限 |
本地/附着/多云/伙伴云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。 |
UCS CommonOperations + UCS RBAC权限(需要包含namespaces资源对象的list权限) |
|
|
只读权限 |
本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
UCS ReadOnlyAccess + UCS RBAC权限(需要包含namespaces资源对象的list权限) |
|
|
镜像仓库 |
管理员权限 |
容器镜像服务的所有权限,包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。 |
SWR Administrator |
|
权限管理 |
管理员权限 |
说明:
创建权限需要同时授予子用户IAM ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。 |
UCS FullAccess + IAM ReadOnlyAccess |
|
只读权限 |
查看权限列表或详情 |
UCS ReadOnlyAccess + IAM ReadOnlyAccess |
|
|
策略中心 |
管理员权限 |
|
UCS FullAccess |
|
只读权限 |
对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。 |
UCS CommonOperations 或 UCS ReadOnlyAccess |
|
|
服务网格 |
管理员权限 |
应用服务网格的所有权限,包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。 |
CCE Administrator |
|
流量分发 |
管理员权限 |
创建流量策略、暂停调度策略、删除调度策略等操作。 |
(推荐)UCS CommonOperations + DNS Administrator 或 UCS FullAccess + DNS Administrator |
|
只读权限 |
查看流量策略列表或详情 |
UCS ReadOnlyAccess + DNS Administrator |
|
|
容器智能分析 |
管理员权限 |
|
UCS CIAOperations |
|
云原生服务中心 |
管理员权限 |
云原生服务中心的所有权限,包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 |
UCS FullAccess |
|
只读权限 |
云原生服务中心的只读权限,包括查看服务列表或详情、查看实例列表或详情等操作。 |
UCS ReadOnlyAccess |
