云容器引擎 CCE-集群权限(IAM授权):CCE集群权限与IAM RBAC
时间:2023-11-01 16:25:55
下载云容器引擎 CCE用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
CCE集群权限与 IAM RBAC
CCE兼容IAM传统的系统角色进行权限管理,建议您切换使用IAM的细粒度策略,避免设置过于复杂或不必要的权限管理场景。
CCE当前支持的角色如下:
- IAM的基础角色:
- te_admin(Tenant Administrator):可以调用除IAM外所有服务的所有API。
- readonly(Tenant Guest):可以调用除IAM外所有服务的只读权限的API。
- CCE的自定义管理员角色:CCE Administrator。
- 由于历史原因,CCE的API中保留了对应用管理与运维平台(ServiceStage)的三个系统角色(SvcStg Administrator、SvcStg Developer、SvcStg Operator)的兼容,当前CCE和ServiceStage已经全面适配了IAM的细粒度策略进行权限管理,不建议您继续使用该系统角色进行权限管理。其在CCE侧的具体权限如下:
- SvcStg Administrator:拥有CCE Administrator相同权限,例外:拥有此角色的用户不默认具有命名空间的权限(Kubernetes RBAC)。
- SvcStg Developer:拥有CCE Administrator相同权限,例外:拥有此角色的用户不默认具有命名空间的权限(Kubernetes RBAC)。
- SvcStg Operator:拥有CCE的只读权限,但不默认具有命名空间的权限。
了解更多ServiceStage和CCE的权限管理详情请参见:ServiceStage权限管理介绍、 CCE权限管理 介绍。
- Tenant Administrator、Tenant Guest是特殊的IAM系统角色,当配置任意系统或自定义策略后,Tenant Administrator、Tenant Guest将以系统策略形式生效,用于兼容IAM RBAC和ABAC场景。
- 如果用户有Tenant Administrator或者CCE Administrator的系统角色,则此用户拥有Kubernetes RBAC的cluster-admin权限,在集群创建后不可移除。
RBAC与IAM策略共存时,CCE开放API或Console操作的后端鉴权逻辑如下:
CCE部分接口由于涉及命名空间权限或关键操作,需要特殊权限:
clusterCert获取集群k8s kubeconfig: cceadm/teadmin
support.huaweicloud.com/usermanual-cce/cce_01_0188.html
看了此文的人还看了
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
推荐文章
