权限配置概述
更新时间 2025-06-19 15:38:04
最近更新时间: 2025-06-19 15:38:04
本节介绍权限配置概述。
根据权限类型,分布式云容器平台的权限包括服务角色、IAM权限策略和RBAC权限。您需要为服务账号授予对应的权限,才能正常使用分布式云容器平台的功能。本文将为您介绍委托、IAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。
权限类型
| 权限类型 | 是否必须授权 | 授权说明 |
|---|---|---|
| 委托 | 使用开通订购功能时必须授权,使用主账号或子账号授权一次即可。 | 授权后分布式云容器平台才能访问其他关联的云服务资源。 |
| IAM系统权限策略 | 主账号默认拥有所有权限,无需额外授权。而子账号必须授权后才能访问分布式云容器平台。 | 授权后子账号才能使用分布式云容器平台系统功能。 |
| RBAC权限 | 主账号默认拥有所有权限,无需额外授权。子账号可以根据需求授予权限,如果没有授权,则采用默认只读权限。 | 授权后,子账号才能对分布式云容器平台集群内的K8s资源进行操作。 |
委托
云服务委托是指,在特定业务场景下,云服务为实现特定功能目标,通过获取其他云服务的访问权限,自动化管理关联资源,从而优化整体服务质量的一种协作机制。
例如,分布式云容器平台上订购注册集群后,需要关联创建ELB、安全组等资源。分布式云容器平台通过委托机制获取关联服务权限,从而自动地完成配置和关联资源创建,提升订购功能的使用体验。
分布式云容器平台目前提供以下服务角色,具体的策略内容请参见IAM控制台。
| 委托名称 | 权限说明 |
|---|---|
| CtyunAssumeRoleForCCEONE | 分布式云容器平台在集群管控操作中使用该角色访问您在ELB、EIP、安全组等服务中的资源。 |
IAM权限策略
默认情况下,子账号在使用云服务时没有任何权限。如果您通过子账号访问分布式云容器平台,需要为其授予相应的操作权限,以确保正常使用分布式云容器平台的功能。分布式云容器平台提供了一些默认的系统权限策略,用于控制全局资源的读写访问,您可以根据业务需求为子账号添加相应的系统策略。
| IAM系统权限策略 | 权限说明 |
|---|---|
| ccseone-admin | 当前账号拥有分布式云容器平台的所有权限 |
| ccseone-user | 当前账号拥有注册集群、舰队、联邦等资源的读写权限 |
| ccseone-viewer | 当前账号拥有分布式云容器平台的资源的只读权限 |
RBAC权限
IAM系统权限策略仅控制分布式云容器平台资源的操作权限,若子账号需要操作指定集群内的K8s资源(比如查询Pod信息、修改ConfigMap的配置内容),除IAM系统权限策略外,还需要获取指定分布式云容器平台集群的RBAC权限。赋予RBAC权限可以在分布式云容器平台的权限管理页面进行操作,支持赋予预置角色和自定义角色。另外值得注意,如果注册集群加入了舰队,舰队和注册集群都设置了RBAC权限,此时该注册集群的RBAC权限将以舰队的RBAC权限为准。
分布式云容器平台提供以下预置角色:
| RBAC权限 | 权限说明 |
|---|---|
| 管理员 | 对所有集群资源对象的读写权限。 |
| 运维人员 | 对集群命名空间级别资源对象的读写权限,对其他资源对象的只读权限。 |
| 开发人员 | 对集群命名空间级别控制台可见资源对象的读写权限。 |
| 受限人员 | 对集群命名空间级别控制台可见资源对象的只读权限。 |
