凯发k8国际娱乐官网入口-k8凯发> 华为云ucs> 常见问题> 权限相关> 如何配置ucs控制台各功能的访问权限?
更新时间:2023-09-07 gmt 08:00

如何配置ucs控制台各功能的访问权限?-凯发k8国际娱乐官网入口

问题描述

ucs控制台的各项功能主要通过iam进行权限控制,未经授权的用户访问ucs控制台中相应的页面,将出现“无访问权限”、“权限认证失败”等类似错误信息。

凯发k8国际娱乐官网入口的解决方案

管理员需要为用户授予ucs控制台各功能的权限,通过iam系统策略(包括ucs fullaccess、ucs commonoperations、ucs ciaoperations和ucs readonlyaccess)来界定用户的权限范围。

表1 ucs系统权限

系统角色/策略名称

描述

类别

ucs fullaccess

ucs服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。

系统策略

ucs commonoperations

ucs服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。

系统策略

ucs ciaoperations

ucs服务容器智能分析管理员权限。

系统策略

ucs readonlyaccess

ucs服务只读权限(除容器智能分析只读权限)。

系统策略

另外,华为云各服务之间存在业务交互关系,ucs也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述四几种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为iam用户授权时,应该遵循权限最小化的安全实践原则,表2列举了ucs各功能管理员、操作、只读权限所需要的最小权限。

授予用户iam系统策略的详细操作请参见ucs服务资源权限;授予用户ucs rbac权限的详细操作请参见集群中kubernetes资源权限

表2 ucs功能所需的最小权限

功能

权限类型

权限范围

最小权限

容器舰队

管理员权限
  • 创建、删除舰队
  • 注册华为云集群(cce集群、cce turbo集群)、本地集群或附着集群
  • 注销集群
  • 将集群加入、移出舰队
  • 为集群或舰队关联权限
  • 开通集群联邦、联邦管理相关操作(如创建联邦工作负载、创建域名访问等)

ucs fullaccess

只读权限

查询集群、舰队的列表或详情

ucs readonlyaccess

华为云集群

管理员权限

对华为云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。

ucs fullaccess cce administrator

操作权限

对华为云集群及集群下大多数kubernetes资源对象的读写权限,对命名空间、资源配额等kubernetes资源对象的只读权限。

ucs commonoperations cce administrator

只读权限

对华为云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。

ucs readonlyaccess cce administrator

本地/附着/多云/伙伴云集群

管理员权限

本地/附着/多云/伙伴云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。

ucs fullaccess

操作权限

本地/附着/多云/伙伴云集群及集群下大多数kubernetes资源对象的读写权限,对命名空间、资源配额等kubernetes资源对象的只读权限。

ucs commonoperations ucs rbac权限(需要包含namespaces资源对象的list权限)

只读权限

本地/附着/多云/伙伴云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。

ucs readonlyaccess ucs rbac权限(需要包含namespaces资源对象的list权限)

镜像仓库

管理员权限

容器镜像服务的所有权限,包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。

swr administrator

权限管理

管理员权限
  • 创建、删除权限
  • 查看权限列表或详情
说明:

创建权限需要同时授予子用户iam readonlyaccess权限(iam服务的只读权限),用于获取iam用户列表。

ucs fullaccess iam readonlyaccess

只读权限

查看权限列表或详情

ucs readonlyaccess iam readonlyaccess

策略中心

管理员权限
  • 启用策略中心
  • 创建、停用策略实例
  • 查看策略列表
  • 查看策略实施详情

ucs fullaccess

只读权限

对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。

ucs commonoperations 或 ucs readonlyaccess

服务网格

管理员权限

应用服务网格的所有权限,包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。

cce administrator

流量分发

管理员权限

创建流量策略、暂停调度策略、删除调度策略等操作。

(推荐)ucs commonoperations dns administrator

ucs fullaccess dns administrator

只读权限

查看流量策略列表或详情

ucs readonlyaccess dns administrator

容器智能分析

管理员权限
  • 接入、取消接入集群
  • 查看基础设施、应用负载等多维度监控数据

ucs ciaoperations

云原生服务中心

管理员权限

云原生服务中心的所有权限,包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。

ucs fullaccess

只读权限

云原生服务中心的只读权限,包括查看服务列表或详情、查看实例列表或详情等操作。

ucs readonlyaccess
父主题: 权限相关
分享:

more

网站地图