CCE对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在CCE Console控制台中的各项功能需要配置相应的服务权限后才能正常查看或使用,详细说明如下:
- 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限,详细设置方法请参见设置集群权限。
- 1.11.7-r2及以上版本的集群,显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。
− 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资源,但密钥 ( Secret )除外,密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
− CustomedHPA与HPA策略需要配置命名空间cluster-admin权限下才能生效。
− 如果您设置的是单一命名空间的view权限,则看到的只能是指定命名空间下的资源。
如果IAM用户需要在CCE Console控制台中拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限,再按下表增加依赖服务的角色或策略。
表-CCE Console中依赖服务的角色或策略
Console控制台功能 | 依赖服务 | 需配置角色/策略 |
总览 | 应用运维管理 AOM |
|
工作负载 | 弹性负载均衡 ELB 应用运维管理 AOM NAT网关 NAT 对象存储服务 弹性文件服务 SFS | 正常创建工作负载时不依赖其他服务的权限。
说明 由于缓存的存在,对用户、用户组以及企业项目授予对象存储相关的RBAC策略后,大概需要等待15分钟RBAC策略才能生效;授予对象存储相关的系统策略后,大概需要等待5分钟系统策略能生效。
|
集群管理 | 应用运维管理 AOM |
|
节点管理 | 弹性云主机 ECS | 当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC Administrator权限。 |
网络管理 | 弹性负载均衡 ELB NAT网关 NAT | 正常创建时不依赖其他服务的权限。
|
存储管理 | 极速文件存储 EFS(SFS Turbo) | 使用极速文件存储,需要设置SFS Turbo Admin权限 |
命名空间 | / | 无需其他依赖权限。 |
模板市场 | / | 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 |
插件管理 | / | 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 |
权限管理 | / |
|
配置中心 | / |
|
帮助中心 | / | 无需其他依赖权限。 |
其他服务跳转 | 容器镜像服务 SWR 应用运维管理 AOM 云监控服务(存储管理与节点管理的“监控”跳转) | 为便于您快速进入CCE相关服务的控制台,在CCE控制台中增加了其他服务的跳转链接,CCE默认没有这些服务的全部权限,如果IAM用户需要查看或使用其功能,请按照该服务的权限策略说明设置相应的权限策略。 |
本章节通过为IAM用户“James”增加CCE“总览”页面监控信息的查看权限为例进行演示。
IAM用户“James”在用户组“开发人员组”,“开发人员组”仅有CCE Administrator权限。如需浏览CCE总览页面的监控信息还需要增加“AOM FullAccess”策略才能正常查看。
步骤 1 使用IAM用户“James”登录CCE控制台。
步骤 2 单击左侧导航栏中的“总览”,进入总览页面,可以看到该用户无权查看监控相关的模块信息。
步骤 1 IAM用户“James”退出登录,使用帐号登录CCE控制台。
步骤 2 在CCE控制台中,单击左侧导航栏中的“权限管理”,在“集群权限”页签下单击“开发人员组”后的“设置权限”。
步骤 3 在弹出的“设置权限”窗口中,单击“去设置”。
步骤 4 进入统一身份认证服务的“用户组 > 开发人员组”页面,在“用户组权限”页签下,单击“配置权限”。
步骤 5 在弹出的“配置权限”窗口中,选择作用范围。此处选择“区域级项目”,并在下拉框中选择需要授权的区域。
步骤 6 在权限列表上方的搜索框中搜索“AOM”,单击“AOM FullAccess”策略并选中,单击“确定”。
步骤 7 在“权限管理”页签下可以看到已经增加“AOM FullAccess”策略。
步骤 8 返回CCE控制台,在“权限管理”的“集群权限”页签下单击右上角的刷新图标,可以看到“AOM FullAccess”权限策略已添加成功。
步骤 1 使用IAM用户“James”登录CCE控制台。
步骤 2 单击左侧导航栏中的“总览”,进入总览页面,可以看到该用户已有权查看监控相关的模块信息。
步骤 3 为IAM用户“James”增加查看总览页监控相关的依赖服务权限完成,验证可正常查看。