云容器引擎 CCE-集群权限(IAM授权):系统策略
系统策略
IAM 中预置的CCE系统策略当前包含CCE FullAccess和CCE ReadOnlyAccess两种策略:
- CCE FullAccess:系统策略,CCE服务集群相关资源的普通操作权限,不包括集群(启用Kubernetes RBAC鉴权)的命名空间权限,不包括委托授权、生成集群证书等管理员角色的特权操作。
- CCE ReadOnlyAccess:系统策略,CCE服务集群相关资源的只读权限,不包括集群(启用Kubernetes RBAC鉴权)的命名空间权限。
购买包周期集群、节点时,需要为用户添加自定义策略,额外配置费用中心服务的支付相关权限,如bss:*:*。
操作(Action) |
Action详情 |
说明 |
---|---|---|
cce:*:* |
cce:cluster:create |
创建集群 |
cce:cluster:delete |
删除集群 |
|
cce:cluster:update |
更新集群,如后续允许集群支持RBAC,调度参数更新等 |
|
cce:cluster:upgrade |
升级集群 |
|
cce:cluster:start |
唤醒集群 |
|
cce:cluster:stop |
休眠集群 |
|
cce:cluster:list |
查询集群列表 |
|
cce:cluster:get |
查询集群详情 |
|
cce:node:create |
添加节点 |
|
cce:node:delete |
删除节点/批量删除节点 |
|
cce:node:update |
更新节点,如更新节点名称 |
|
cce:node:get |
查询节点详情 |
|
cce:node:list |
查询节点列表 |
|
cce:nodepool:create |
创建节点池 |
|
cce:nodepool:delete |
删除节点池 |
|
cce:nodepool:update |
更新节点池信息 |
|
cce:nodepool:get |
获取节点池 |
|
cce:nodepool:list |
列出集群的所有节点池 |
|
cce:release:create |
创建模板实例 |
|
cce:release:delete |
删除模板实例 |
|
cce:release:update |
更新升级模板实例 |
|
cce:job:list |
查询任务列表(集群层面的job) |
|
cce:job:delete |
删除任务/批量删除任务(集群层面的job) |
|
cce:job:get |
查询任务详情(集群层面的job) |
|
cce:storage:create |
创建存储 |
|
cce:storage:delete |
删除存储 |
|
cce:storage:list |
列出所有磁盘 |
|
cce:addonInstance:create |
创建插件实例 |
|
cce:addonInstance:delete |
删除插件实例 |
|
cce:addonInstance:update |
更新升级插件实例 |
|
cce:addonInstance:get |
获取插件实例 |
|
cce:addonTemplate:get |
获取插件模板 |
|
cce:addonInstance:list |
列出所有插件实例 |
|
cce:addonTemplate:list |
列出所有插件模板 |
|
cce:chart:list |
列出所有模板 |
|
cce:chart:delete |
删除摸板 |
|
cce:chart:update |
更新模板 |
|
cce:chart:upload |
上传模板 |
|
cce:chart:get |
获取模板信息 |
|
cce:release:get |
获取模板实例信息 |
|
cce:release:list |
列出所有模板实例 |
|
cce:userAuthorization:get |
获取CCE用户授权 |
|
cce:userAuthorization:create |
创建CCE用户授权 |
|
ecs:*:* |
- |
E CS (弹性云服务器)服务的所有权限。 |
evs:*:* |
具体action详见:云硬盘v2接口的授权信息。 |
EVS(云硬盘)的所有权限。 可以将云硬盘挂载到云服务器,并可以随时扩容云硬盘容量 |
vpc:*:* |
- |
VPC(虚拟私有云,包含二代ELB)的所有权限。 创建的集群需要运行在虚拟私有云中,创建命名空间时,需要创建或关联VPC,创建在命名空间的容器都运行在VPC之内。 |
sfs:*:get* |
- |
SFS(弹性文件存储服务)资源详情的查看权限。 |
sfs:shares:ShareAction |
- |
SFS(弹性文件存储服务)资源的扩容共享。 |
aom:*:get |
- |
|
aom:*:list |
- |
AOM(应用运维管理)资源列表的查看权限。 |
aom:autoScalingRule:* |
- |
AOM(应用运维管理)自动扩缩容规则的所有操作权限。 |
apm:icmgr:* |
- |
|
lts:*:* |
- |
LTS( 云日志 服务)的所有权限。 |
操作(Action) |
操作(Action) |
说明 |
---|---|---|
cce:*:get |
cce:cluster:get |
查询集群详情 |
cce:node:get |
查询节点详情 |
|
cce:job:get |
查询任务详情(集群层面的job) |
|
cce:addonInstance:get |
获取插件实例 |
|
cce:addonTemplate:get |
获取插件模板 |
|
cce:chart:get |
获取模板信息 |
|
cce:nodepool:get |
获取节点池 |
|
cce:release:get |
获取模板实例信息 |
|
cce:userAuthorization:get |
获取CCE用户授权 |
|
cce:*:list |
cce:cluster:list |
查询集群列表 |
cce:node:list |
查询节点列表 |
|
cce:job:list |
查询任务列表(集群层面的job) |
|
cce:addonInstance:list |
列出所有插件实例 |
|
cce:addonTemplate:list |
列出所有插件模板 |
|
cce:chart:list |
列出所有模板 |
|
cce:nodepool:list |
列出集群的所有节点池 |
|
cce:release:list |
列出所有模板实例 |
|
cce:storage:list |
列出所有磁盘 |
|
cce:kubernetes:* |
- |
操作所有Kubernetes资源,具体权限请在命名空间权限中配置。 |
ecs:*:get |
- |
ECS(弹性云服务器)所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云服务器 |
ecs:*:list |
- |
ECS(弹性云服务器)所有资源列表的查看权限。 |
bms:*:get* |
- |
BMS(裸金属服务器)所有资源详情的查看权限。 |
bms:*:list |
- |
BMS(裸金属服务器)所有资源列表的查看权限。 |
evs:*:get |
- |
EVS(云硬盘)所有资源详情的查看权限。可以将云硬盘挂载到云服务器,并可以随时扩容云硬盘容量 |
evs:*:list |
- |
EVS(云硬盘)所有资源列表的查看权限。 |
evs:*:count |
- |
- |
vpc:*:get |
- |
VPC(虚拟私有云,包含二代ELB)所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中,创建命名空间时,需要创建或关联VPC,创建在命名空间的容器都运行在VPC之内 |
vpc:*:list |
- |
VPC(虚拟私有云,包含二代ELB)所有资源列表的查看权限。 |
sfs:*:get* |
- |
SFS(弹性文件服务)服务所有资源详情的查看权限。 |
sfs:shares:ShareAction |
- |
SFS(弹性文件服务)资源的扩容共享。 |
aom:*:get |
- |
AOM(应用运维管理)服务所有资源详情的查看权限。 |
aom:*:list |
- |
AOM(应用运维管理)服务所有资源列表的查看权限。 |
aom:autoScalingRule:* |
- |
AOM(应用运维管理)服务自动扩缩容规则的所有操作权限。 |
lts:*:get |
- |
LTS(云日志服务)的所有资源详情的查看权限。 |
lts:*:list |
- |
LTS(云日志服务)的所有资源列表的查看权限。 |