根据权限类型,分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限,才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系,以及如何为服务账号授予相应权限。
权限类型
| 权限类型 | 是否必须授权 | 权限说明 |
|---|---|---|
| 资源委托 | 首次使用CCE One服务时需要授权,使用天翼云账号(主账号,或者具有管理员权限的子账号)授权一次即可。 | 授权后,CCE One服务才能正常访问其他关联云资源,并正常运行。 |
| IAM策略 | 主账号无需额外授权,IAM子账号必须授权;基于IAM策略权限,可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 | 授权后,IAM子账号才能正常使用CCE One产品功能,或具备管理某些特定实例生命周期的权限。 |
| 实例RBAC | 主账号及实例创建账号(若为子账号)无需额外授权;其他子账号必须授权; | 授权后,IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作;前提条件是,该IAM子账号需要已具备相关实例的IAM读权限。 |
资源委托
资源委托是云服务在特定情况下,因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。
例如,CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时,需要创建弹性负载均衡ELB以及弹性IP,因此需要这俩产品的相关权限。
使用分布式容器云平台服务需要授予访问以下云资源的权限:
访问计算类服务
注册集群按需弹性云上资源时会关联创建云服务器,需要获取访问弹性云服务器、弹性裸金属服务器的权限
访问存储类服务
为注册集群关联云上节点和容器挂载存储,需要获取访问云硬盘、弹性文件、对象存储等服务的权限
访问网络类服务
为注册集群及联邦提供网络代理及服务对外暴露,需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限
访问容器与监控类服务
为三方注册集群下容器提供镜像拉取、监控和日志分析等功能,需要获取访问容器镜像、应用运维管理等服务的权限同意授权后,CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托,为保证服务正常使用,在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托
若您尚未对CCE One进行资源委托授权,在进入CCE One任一订购页时,将提示您进行必要的委托授权。
点击【点击此处授权】后,将弹出详细授权说明。
再次点击【确定授权】,后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面,可以看到CCE One对应委托记录如下,委托名“CtyunAssumeRoleForCCEONE”。
IAM策略
您可以基于IAM权限策略,授予子账号部分接口或者特定实例的操作权限,例如允许特定子账号订购注册集群、查询注册集群列表以及退订注册集群,但是限制不允许创建、操作舰队和联邦实例等。
IAM策略分为接口权限控制和实例权限控制两部分,CCE One当前均已支持,并提供默认配置模板供选择。
