配置IAM预置权限策略
更新时间:2023-09-01
CCE 基于 IAM 策略授权,指的是百度智能云账号的管理员(或拥有系统管理员权限的子用户)通过多用户访问控制(IAM),将预定义的 CCE 系统策略授予子用户/用户组,让其拥有集群级别(集群、节点、节点组等资源)的只读/管理权限,CCE 系统策略授权将作用于所有地域下的全部集群。
本文将介绍 CCE 基于 IAM 策略授权的流程及使用方法。
说明
本节对于 CCE IAM 策略的授权,只包括 CCE 集群级别资源以及关联云产品/服务的权限,不包括集群命名空间级别 Kubernetes 资源的权限。对命名空间 Kubernetes 资源的操作授权,请参见配置预置RBAC权限策略 。
CCE预置策略
您可以使用以下预设策略为子用户授予相关权限:
| 策略名称 | 策略描述 | 权限范围 |
|---|---|---|
| CCEDevelopPolicy | CCE 开发管理策略: 包括 CCE 集群、节点、节点组等集群级别资源的只读权限,以及 BCC、CDS、VPC、EIP、BLB、CCR 等相关云产品/服务的只读权限。不包括集群命名空间级别的权限。 对于需要对业务应用进行部署和变更的开发人员来说,授予该策略后,再通过 CCE RBAC 授权具体集群和命名空间的运维开发权限,即可进行创建工作负载等 Kubernetes 资源的操作。 |
集群/节点资源操作: 查看集群/节点/节点组的列表/详情 查看集群/节点健康检查 查看/下载集群kubeconfig 查看节点组伸缩配置/伸缩活动 查看集群快照列表 查看权限管理列表 查看组件介绍详情 查看集群/节点监控 查看集群/节点日志 查看集群/节点事件 查看Helm模板/Helm实例 查看/拉取镜像仓库镜像 查看镜像仓库命名空间 关联云产品/服务操作: 查看计算资源BCC、BBC,存储资源CDS、BOS,网络资源VPC、子网、安全组、BLB、EIP、ENI、ACL等,以及查看监控服务BCM、容器镜像服务CCR、ElasticSearch服务 |
| CCEFullControlAccessPolicy | CCE 完全控制管理策略: 包括 CCE 集群、节点、节点组等集群级别资源的管理权限,以及 BCC、CDS、VPC、EIP、BLB、CCR 等相关云产品/服务的操作权限。不包括集群命名空间级别的权限。 对于需要创建、管理集群,扩缩容节点资源,对业务部署运行环境进行变更、升级、监控、维护的运维人员来说,授予该策略即可。 |
集群/节点资源操作: 创建/删除集群/节点组 添加/移出节点 升级集群版本 变更节点组配置 调整节点组节点数 创建/删除集群快照 安装/升级/卸载组件 配置容器监控/报警 创建/删除日志规则 开关事件持久化/异常事件推送 创建/更新/删除Helm实例 推送镜像到镜像仓库 创建/删除镜像仓库命名空间 关联云产品/服务操作: 运维操作计算资源BCC、BBC,存储资源CDS、BOS,网络资源VPC、子网、安全组、BLB、EIP、ENI、ACL等,以及操作容器镜像服务CCR、ElasticSearch服务 |
温馨提示
- CCE 的关联云产品/服务较多,为了让您的授权过程更加简单高效,CCE IAM 系统策略配置包含了常用关联云产品/服务的操作权限。
- 您只需为子用户授权一次 CCE IAM 系统策略,即可让其拥有 CCE 集群、节点资源和关联云产品/服务的只读/管理权限,而无需理解多种云产品策略并进行多次授权。
- 若系统策略不能满足您的授权需求,可以创建自定义策略允许或拒绝相关云产品/服务的操作。
操作步骤
直接给子用户授权
您可以直接为子用户关联策略以获取策略包含的权限。
- 进入多用户访问控制控制台,选择左侧导航栏中的用户管理>子用户进入“子用户管理”列表页面。
- 选择目标子用户单击用户名进入用户详情页面。
- 单击“授权”操作,在“编辑权限”弹出框中勾选所需策略。
- 单击“确定”即可。
通过用户组给子用户授权
您可以将子用户添加至用户组,该子用户将自动获取该用户组所关联策略的权限。如需解除随组关联策略,仅需将子用户移出相应用户组即可。
- 进入多用户访问控制控制台,选择左侧导航栏中的组管理进入“组管理”列表页面。
- 选择目标用户组单击编辑进入编辑组页面。
- 在“编辑组”页面勾选所需策略以及添加对应子用户。
- 单击“确认”即可。