容器引擎CCE提供的系统授权策略的授权粒度比较粗，如果这种粗粒度授权策略不能满足您的需要，那么您可以创建自定义授权策略。例如，您想控制对某个具体的集群的操作权限，您可以使用自定义授权策略满足细粒度访问要求。

操作步骤

按策略生成器创建

1. 登录百度智能云官网，并进入管理控制台。
2. 在控制台右上角个人信息中单击多用户访问控制，进入“多用户访问控制”控制台页面。
3. 在左侧导航栏中选择“策略管理”进入“权限策略列表”页面。

4. 单击创建策略，在“选择创建策略的方式”弹出框中选择按策略生成器创建。

   

5. 在“在“创建权限策略”页面完成策略名称和权限配置。

6. 单击“添加权限”，在弹框中完成权限配置，这里以授予香港地域某个集群的只读权限为例：

   

   配置项	必选/可选	配置说明
   选择服务	必选	选择生效的服务对象，这里选择“容器引擎CCE”。
   权利效力	必选	选择允许操作或禁止操作，这里选择“允许”。
   集群	必选	选择集群的操作权限，这里选择“只读”。
   选择资源	必选	选择可操作的集群资源，这里选择“特定资源”，区域选择“中国香港”，然后勾选该地域下的集群。若想要操作全部集群，则选择“所有资源”。

   说明

   • 只读权限：拥有已选择标签关联全部集群的只读权限
   • 运维权限：拥有已选择标签关联全部集群的全部读写权限，但不能删除集群
   • 管理权限：拥有已选择标签关联全部集群的全部读写权限，可以删除集群
   • 若您有更高的配置要求，更多信息可参见管理IAM策略。

7. 单击确认按钮完成创建，您可以在“权限策略列表”页面查看到创建的策略。
8. 将自定义权限策略授权给目标IAM子用户，具体操作，请参见子用户授权。

按策略语法创建

在创建自定义授权策略时，您需要了解授权策略语言的基本结构和语法。更多信息，请参见策略语法说明。

1. 登录百度智能云官网，并进入管理控制台。
2. 在控制台右上角个人信息中单击多用户访问控制，进入“多用户访问控制”控制台页面。
3. 在左侧导航栏中选择“策略管理”进入“权限策略列表”页面。
4. 单击创建策略，在“选择创建策略的方式”弹出框中选择按策略语法创建。
5. 在“创建权限策略”页面编写自定义授权策略内容，当前以授予全地域所有集群的完全控制权限为例：

{
  "version": "v1",
  "accessControlList": [
      {
          "service": "bce:cce",
          "region": "*",
          "resource": [
              "*"
          ],
          "effect": "Allow",
          "permission": [
              "CLUSTER_CREATE",
              "CLUSTER_DELETE",
              "CLUSTER_MANAGE",
              "CLUSTER_READ",
              "CLUSTER_LIST"
          ]
      }
  ]
}

其中：

• region处为所要授权的地域，可以有以下配置：

  • 授予全部地域的权限

  "region": "*"

  • 授予单个地域的权限，如：北京（bj）

  "region": "bj"

  说明

  一个accessControl只能指定一个地域，如需指定多个地域，则需创建多个。

• resource处为所要授权的资源，可以有以下配置：

  • 授予全部集群的权限

  "resource": [
              "*"
          ]

  • 授予单个集群的权限

  "resource": [
              "CCE_Cluster/集群ID"
          ]

  • 授予多个集群的权限

  "resource": [
              "CCE_Cluster/集群ID",
              "CCE_Cluster/集群ID"
          ]

  说明

  集群ID需要替换为所需授权的真实的集群ID。

• action处为所要授予的集群操作权限：

  • 您可以根据实际情况选择不同的权限组合

   "permission": [
               "CLUSTER_CREATE", # 授予创建集群的权限
               "CLUSTER_DELETE", # 授予删除集群的权限
               "CLUSTER_MANAGE", # 授予管理集群的权限
               "CLUSTER_READ",   # 授予只读集群的权限
               "CLUSTER_LIST"    # 授予集群列表的权限
           ]

6. 单击完成即可完成创建自定义策略。
7. 将自定义权限策略授权给目标IAM子用户，具体操作，请参见子用户授权。

自定义授权策略示例

以下策略中不包含集群关联使用云产品（如云服务器BCC、负载均衡BLB等）的权限，若有需要请单独为子用户授予相应产品的权限。

• 授权子用户单个集群的只读权限，如集群ID为cce-xxxx

{
    "version": "v1",
    "accessControlList": [
        {
            "service": "bce:cce",
            "region": "*",
            "resource": [
                "CCE_Cluster/cce-xxxx"
            ],
            "effect": "Allow",
            "permission": [
                "CLUSTER_READ",
                "CLUSTER_LIST"
            ]
        }
    ]
}

• 授权子用户单个集群的完全控制权限，如集群ID为cce-xxxx

{
    "version": "v1",
    "accessControlList": [
        {
            "service": "bce:cce",
            "region": "*",
            "resource": [
                "CCE_Cluster/cce-xxxx"
            ],
            "effect": "Allow",
            "permission": [
                "CLUSTER_DELETE",
                "CLUSTER_MANAGE",
                "CLUSTER_READ",
                "CLUSTER_LIST"
            ]
        }
    ]
}