CCE One 集群权限是基于IAM系统策略和自定义策略的授权,可以通过用户组功能实现IAM用户的授权。
注意
服务资源权限(IAM授权)仅针对注册集群、舰队、联邦等服务资源有效,如果您要操作Kubernetes资源,您必须确保同时配置了Kubernetes集群内权限,才能有操作Kubernetes资源(如工作负载、Service等)的权限。
配置说明
服务资源权限配置,比如创建用户组和具体权限配置,均需要跳转到IAM控制台进行具体操作。设置完后在集群权限页面能看到用户组所拥有的权限。
示例流程
图1:给用户授予分布式容器云平台权限流程
1. 创建用户组并授权。
在IAM控制台创建用户组,并授予分布式容器云平台权限,例如ccseone-viewer。
2. 创建用户并加入用户组。
在IAM控制台创建用户,并将其加入1中创建的用户组。
3. 用户登录并验证权限。
用户登录控制台,验证权限:
单击左侧导航栏“舰队联邦 > 舰队管理”,如果创建舰队时提示无访问权限,表示权限配置已生效。
单击左侧导航栏“集群资源 > 注册集群”,如果订购注册集群时提示无访问权限,表示权限配置已生效。
系统角色
角色是分布式容器云平台最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。IAM中预置的分布式容器云平台系统角色为 ccseone-admin。
ccseone-admin:系统策略,分布式容器云平台相关资源的所有权限
ccseone-user:系统策略,分布式容器云平台相关资源读写权限,不包括开通订购注册集群、集群联邦等权限。
ccseone-viewer:系统策略,分布式容器云平台相关资源只读权限
资源权限与企业项目
分布式容器云平台支持以注册集群、集群联邦为粒度,基于企业项目维度进行资源管理以及权限分配。
如下事项需特别注意:
IAM项目是基于资源进行管理,而企业项目则是提供资源的全局逻辑分组,更符合企业实际场景,并且支持基于企业项目维度的IAM策略管理,因此推荐您使用企业项目。
IAM项目与企业项目共存时,IAM将优先匹配IAM项目策略。
分布式容器云平台集群基于已有基础资源(VPC)创建集群、节点时,请确保IAM用户在已有资源的企业项目下有相关权限,否则可能导致集群或者节点创建失败。
