容器引擎CCE

    多用户访问控制

    介绍

    多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

    适用于下列使用场景:

    • 中大型企业客户:对公司内多个员工授权管理;
    • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
    • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

    创建用户

    1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

    2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
    3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

    配置策略

    CCE目前支持系统策略,实现CCE的产品级权限控制。

    • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。

    系统策略

    系统策略包含完全控制管理CCE的权限、运维管理CCE的权限和开发管理CCE的权限3种策略,权限范围详细如下:

    策略名称 权限说明 权限范围
    CCEFullControlAccessPolicy 完全控制管理CCE的权限:

    子用户具备CCE资源的完全管理权限,以及CCE应用的完全管理权限。可以创建和删除集群,管理集群内的节点等资源,可以通过Kubernetes在集群中部署和删除应用。

    适用于全局管理员。
    资源管理:

    创建集群
    删除集群
    变更集群备注
    添加节点
    删除节点
    编辑自动扩缩容策略

    应用管理:

    下载集群配置文件
    进入Kubernetes控制台
    创建/删除命名空间
    创建/删除Helm实例、工作负载、流量接入、配置存储等Kubernetes应用
    CCEOperateAccessPolicy 运维管理CCE的权限:

    子用户具备CCE资源的部分管理权限,以及CCE应用的完全管理权限。不能新建集群或者删除已有集群,但是可以对集群内的节点资源进行管理。

    适用于需要进行资源运维和扩缩容的运维人员。
    资源管理:

    变更集群备注
    添加节点
    删除节点
    编辑自动扩缩容策略

    应用管理:

    下载集群配置文件
    进入Kubernetes控制台
    创建/删除命名空间
    创建/删除Helm实例、工作负载、流量接入、配置存储等Kubernetes应用
    CCEDevelopPolicy 开发管理CCE的权限:

    子用户不具备CCE资源的管理权限,但是可以通过kubernetes对集群中部署的应用进行管理。

    适用于需要对应用进行发布和更改的开发者。
    应用管理:

    下载集群配置文件
    进入Kubernetes控制台
    创建/删除命名空间
    创建/删除Helm实例、工作负载、流量接入、配置存储等Kubernetes应用

    用户授权

    在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

    说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

    子用户登录

    主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

    其他详细操作参考:多用户访问控制

    上一篇
    日志管理
    下一篇
    子用户RBAC权限配置