云容器实例 CCI-基于IAM进行访问控制:角色授权系统权限

时间：2024-11-13 16:38:45

云容器实例 CCI 身份认证与访问控制

角色授权系统权限

CCI服务支持基于角色授权的授权模型。默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

CCI部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问CCI时，需要先切换至授权区域。

如表2所示，包括了CCI的所有系统权限。基于角色授权场景的系统策略与基于策略授权场景的并不互通。

表2 CCI系统权限
系统策略名称	描述	类别
CCI FullAccess	云容器实例所有权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。说明：对象存储服务 OBS为全局级服务，若需要使用对象存储服务请为其单独授予权限，授权操作请参见对象存储服务权限控制。	系统策略
CCI ReadOnlyAccess	云容器实例只读权限，拥有该权限的用户仅能查看云容器实例资源。	系统策略
CCI CommonOperations	云容器实例普通用户，拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。	系统策略
CCI Administrator	云容器实例管理员权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。	系统角色

表3列出了CCI常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表3 常用操作与系统策略的关系
操作	CCI FullAccess	CCI ReadOnlyAccess	CCI CommonOperations
创建无状态负载	√	x	√
删除无状态负载	√	x	√
查看无状态负载	√	√	√
升级负载	√	x	√
伸缩负载	√	x	√
删除Pod	√	x	√
查看Pod	√	√	√
创建任务	√	x	√
删除任务	√	x	√
查看任务	√	√	√
创建定时任务	√	x	√
删除定时任务	√	x	√
查看定时任务	√	√	√
查看资源使用率	√	√	√
添加云硬盘卷	√	x	√
删除云硬盘卷	√	x	√
查看云硬盘卷	√	√	√
创建文件存储卷	√	x	√
删除文件存储卷	√	x	√
查看文件存储卷	√	√	√
创建ConfigMap	√	x	√
删除ConfigMap	√	x	√
查看ConfigMap	√	√	√
创建Secret	√	x	√
删除Secret	√	x	√
查看Secret	√	√	√
添加SSL证书	√	x	√
删除SSL证书	√	x	√
查看SSL证书	√	√	√
添加日志存储	√	x	√
查看日志	√	√	√
安装插件	√	x	√
删除插件	√	x	√
查看插件	√	√	√
查看授权	√	√	√
新增授权	√	x	x
删除授权	√	x	x
获取指定namespace	√	√	√
创建namespace	√	x	x
删除namespace	√	x	x
创建network	√	x	x
删除network	√	x	x
查询network列表	√	√	√
查询network详情	√	√	√