云容器引擎 CCE-集群权限(IAM授权):系统策略

时间:2024-05-31 08:37:51

系统策略

IAM 中预置的CCE系统策略当前包含CCE FullAccessCCE ReadOnlyAccess两种策略:

  • CCE FullAccess:系统策略,CCE服务集群相关资源的普通操作权限,不包括集群(启用Kubernetes RBAC鉴权)的命名空间权限,不包括委托授权、生成集群证书等管理员角色的特权操作。
  • CCE ReadOnlyAccess:系统策略,CCE服务集群相关资源的只读权限,不包括集群(启用Kubernetes RBAC鉴权)的命名空间权限。

购买包周期集群、节点时,需要为用户添加自定义策略,额外配置费用中心服务的支付相关权限,如bss:*:*。

表1 CCE FullAccess策略主要权限

操作(Action)

Action详情

说明

cce:*:*

cce:cluster:create

创建集群

cce:cluster:delete

删除集群

cce:cluster:update

更新集群,如后续允许集群支持RBAC,调度参数更新等

cce:cluster:upgrade

升级集群

cce:cluster:start

唤醒集群

cce:cluster:stop

休眠集群

cce:cluster:list

查询集群列表

cce:cluster:get

查询集群详情

cce:node:create

添加节点

cce:node:delete

删除节点/批量删除节点

cce:node:update

更新节点,如更新节点名称

cce:node:get

查询节点详情

cce:node:list

查询节点列表

cce:nodepool:create

创建节点池

cce:nodepool:delete

删除节点池

cce:nodepool:update

更新节点池信息

cce:nodepool:get

获取节点池

cce:nodepool:list

列出集群的所有节点池

cce:release:create

创建模板实例

cce:release:delete

删除模板实例

cce:release:update

更新升级模板实例

cce:job:list

查询任务列表(集群层面的job)

cce:job:delete

删除任务/批量删除任务(集群层面的job)

cce:job:get

查询任务详情(集群层面的job)

cce:storage:create

创建存储

cce:storage:delete

删除存储

cce:storage:list

列出所有磁盘

cce:addonInstance:create

创建插件实例

cce:addonInstance:delete

删除插件实例

cce:addonInstance:update

更新升级插件实例

cce:addonInstance:get

获取插件实例

cce:addonTemplate:get

获取插件模板

cce:addonInstance:list

列出所有插件实例

cce:addonTemplate:list

列出所有插件模板

cce:chart:list

列出所有模板

cce:chart:delete

删除摸板

cce:chart:update

更新模板

cce:chart:upload

上传模板

cce:chart:get

获取模板信息

cce:release:get

获取模板实例信息

cce:release:list

列出所有模板实例

cce:userAuthorization:get

获取CCE用户授权

cce:userAuthorization:create

创建CCE用户授权

ecs:*:*

-

E CS (弹性云服务器)服务的所有权限。

evs:*:*

具体action详见:云硬盘v2接口的授权信息

EVS(云硬盘)的所有权限。

可以将云硬盘挂载到云服务器,并可以随时扩容云硬盘容量

vpc:*:*

-

VPC(虚拟私有云,包含二代ELB)的所有权限。

创建的集群需要运行在虚拟私有云中,创建命名空间时,需要创建或关联VPC,创建在命名空间的容器都运行在VPC之内。

sfs:*:get*

-

SFS(弹性文件存储服务)资源详情的查看权限。

sfs:shares:ShareAction

-

SFS(弹性文件存储服务)资源的扩容共享。

aom:*:get

-

AOM 应用运维管理 )资源详情的查看权限。

aom:*:list

-

AOM(应用运维管理)资源列表的查看权限。

aom:autoScalingRule:*

-

AOM(应用运维管理)自动扩缩容规则的所有操作权限。

apm:icmgr:*

-

APM 应用性能管理 服务)操作ICAgent权限。

lts:*:*

-

LTS( 云日志 服务)的所有权限。

表2 CCE ReadOnlyAccess策略主要权限

操作(Action)

操作(Action)

说明

cce:*:get

cce:cluster:get

查询集群详情

cce:node:get

查询节点详情

cce:job:get

查询任务详情(集群层面的job)

cce:addonInstance:get

获取插件实例

cce:addonTemplate:get

获取插件模板

cce:chart:get

获取模板信息

cce:nodepool:get

获取节点池

cce:release:get

获取模板实例信息

cce:userAuthorization:get

获取CCE用户授权

cce:*:list

cce:cluster:list

查询集群列表

cce:node:list

查询节点列表

cce:job:list

查询任务列表(集群层面的job)

cce:addonInstance:list

列出所有插件实例

cce:addonTemplate:list

列出所有插件模板

cce:chart:list

列出所有模板

cce:nodepool:list

列出集群的所有节点池

cce:release:list

列出所有模板实例

cce:storage:list

列出所有磁盘

cce:kubernetes:*

-

操作所有Kubernetes资源,具体权限请在命名空间权限中配置。

ecs:*:get

-

ECS(弹性云服务器)所有资源详情的查看权限。

CCE中的一个节点就是具有多个云硬盘的一台弹性云服务器

ecs:*:list

-

ECS(弹性云服务器)所有资源列表的查看权限。

bms:*:get*

-

BMS(裸金属服务器)所有资源详情的查看权限。

bms:*:list

-

BMS(裸金属服务器)所有资源列表的查看权限。

evs:*:get

-

EVS(云硬盘)所有资源详情的查看权限。可以将云硬盘挂载到云服务器,并可以随时扩容云硬盘容量

evs:*:list

-

EVS(云硬盘)所有资源列表的查看权限。

evs:*:count

-

-

vpc:*:get

-

VPC(虚拟私有云,包含二代ELB)所有资源详情的查看权限。

创建的集群需要运行在虚拟私有云中,创建命名空间时,需要创建或关联VPC,创建在命名空间的容器都运行在VPC之内

vpc:*:list

-

VPC(虚拟私有云,包含二代ELB)所有资源列表的查看权限。

sfs:*:get*

-

SFS(弹性文件服务)服务所有资源详情的查看权限。

sfs:shares:ShareAction

-

SFS(弹性文件服务)资源的扩容共享。

aom:*:get

-

AOM(应用运维管理)服务所有资源详情的查看权限。

aom:*:list

-

AOM(应用运维管理)服务所有资源列表的查看权限。

aom:autoScalingRule:*

-

AOM(应用运维管理)服务自动扩缩容规则的所有操作权限。

lts:*:get

-

LTS(云日志服务)的所有资源详情的查看权限。

lts:*:list

-

LTS(云日志服务)的所有资源列表的查看权限。

support.huaweicloud.com/usermanual-cce/cce_10_0188.html