ucs服务资源权限-凯发k8国际娱乐官网入口
ucs服务资源权限是基于iam系统策略的授权,ucs服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对ucs资源的使用范围。
iam通过用户组功能实现用户的授权,在给用户组授权之前,请您提前阅读用户组可以添加的ucs系统策略,以及ucs功能所需的最小权限,然后结合实际情况进行授权。若您想了解其他云服务的权限策略,请参见系统权限。
授权流程
本节以授予“ucs readonlyaccess”权限为例介绍为用户授权的方法,操作流程如图1所示。
- 。
管理员帐号在iam控制台创建用户组,并授予ucs权限,例如:ucs readonlyaccess。
ucs部署时不区分物理区域,为全局级服务。授权时,选择授权范围方案为“所有资源”。
- 。
在iam控制台创建用户,并将其加入1中创建的用户组。
- 并验证权限。
新创建的用户登录控制台,验证权限(假设当前权限仅包含ucs readonlyaccess):
- 在“服务列表”中选择华为云ucs,进入ucs总览页,单击左侧导航栏“基础设施 > 容器舰队”,如果创建舰队和注册集群时提示无访问权限,表示“ucs readonlyaccess”已生效。
- 在“服务列表”中选择除华为云ucs以外的其他服务(如弹性云服务器 ecs),若提示权限不足,表示“ucs readonlyaccess”已生效。
系统策略
iam中预置的ucs系统策略包含ucs fullaccess、ucs commonoperations、ucs ciaoperations和ucs readonlyaccess几种类型。
- ucs fullaccess:ucs服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。
- ucs commonoperations:ucs服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。
- ucs ciaoperations:ucs服务容器智能分析管理员权限。
- ucs readonlyaccess:ucs服务只读权限(除容器智能分析只读权限)。
您可以通过查看策略内容来了解系统策略所支持的授权项,授权项的格式为“服务名:资源类型:操作”,支持通配符号*,通配符号*表示所有。
例如,ucs fullaccess的策略内容如下所示。可以看出,该策略包含了ucs、cce(云容器引擎)、swr(容器镜像服务)的所有权限,aom(应用运维管理)、smn(应用运维管理)、dns(云解析服务)等服务的部分资源的操作权限。
{
"version": "1.1",
"statement": [
{
"action": [
"ucs:*:*",
"cce:*:*",
"swr:*:*",
"aom:*:get",
"aom:*:list",
"smn:*:list",
"dns:*:get*",
"dns:*:list*",
"dns:*:get",
"dns:*:list",
"dns:recordset:create",
"dns:recordset:delete",
"dns:recordset:update",
"dns:tag:get",
"lts:*:get",
"lts:*:list",
"apm:*:get",
"apm:*:list",
"vpcep:epservices:*",
"vpcep:connections:*",
"vpcep:endpoints:*",
"elb:*:get",
"elb:*:list",
"vpc:*:get",
"vpc:*:list",
"ief:*:get",
"ief:*:list",
"cgs:images:operate",
"cgs:*:get",
"cgs:*:list"
],
"effect": "allow"
}
]
}
ucs功能所需的最小权限
华为云各服务之间存在业务交互关系,ucs也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述四种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为iam用户授权时,应该遵循权限最小化的安全实践原则,表1列举了ucs各功能管理员、操作、只读权限所需要的最小权限。
- 如您的华为云帐号为首次登录ucs控制台,需要为其授权,同意授权后,ucs将在统一身份认证服务为您创建名为ucs_admin_trust的委托,为保证ucs服务正常使用,请不要删除或者修改该委托。
- iam用户所在用户组未授予任何权限的情况下,您将无法访问ucs控制台,请参考表1授予相关权限。
功能 |
权限类型 |
权限范围 |
最小权限 |
|---|---|---|---|
容器舰队 |
管理员权限 |
|
ucs fullaccess |
只读权限 |
查询集群、舰队的列表或详情 |
ucs readonlyaccess |
|
华为云集群 |
管理员权限 |
对华为云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
ucs fullaccess cce administrator |
操作权限 |
对华为云集群及集群下大多数kubernetes资源对象的读写权限,对命名空间、资源配额等kubernetes资源对象的只读权限。 |
ucs commonoperations cce administrator |
|
只读权限 |
对华为云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
ucs readonlyaccess cce administrator |
|
本地/附着/多云/伙伴云集群 |
管理员权限 |
本地/附着/多云/伙伴云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
ucs fullaccess |
操作权限 |
本地/附着/多云/伙伴云集群及集群下大多数kubernetes资源对象的读写权限,对命名空间、资源配额等kubernetes资源对象的只读权限。 |
ucs commonoperations ucs rbac权限(需要包含namespaces资源对象的list权限) |
|
只读权限 |
本地/附着/多云/伙伴云集群及集群下所有kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
ucs readonlyaccess ucs rbac权限(需要包含namespaces资源对象的list权限) |
|
镜像仓库 |
管理员权限 |
容器镜像服务的所有权限,包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。 |
swr administrator |
权限管理 |
管理员权限 |
说明:
创建权限需要同时授予子用户iam readonlyaccess权限(iam服务的只读权限),用于获取iam用户列表。 |
ucs fullaccess iam readonlyaccess |
只读权限 |
查看权限列表或详情 |
ucs readonlyaccess iam readonlyaccess |
|
策略中心 |
管理员权限 |
|
ucs fullaccess |
只读权限 |
对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。 |
ucs commonoperations 或 ucs readonlyaccess |
|
服务网格 |
管理员权限 |
应用服务网格的所有权限,包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。 |
cce administrator |
流量分发 |
管理员权限 |
创建流量策略、暂停调度策略、删除调度策略等操作。 |
(推荐)ucs commonoperations dns administrator 或 ucs fullaccess dns administrator |
只读权限 |
查看流量策略列表或详情 |
ucs readonlyaccess dns administrator |
|
容器智能分析 |
管理员权限 |
|
ucs ciaoperations |
云原生服务中心 |
管理员权限 |
云原生服务中心的所有权限,包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 |
ucs fullaccess |
只读权限 |
云原生服务中心的只读权限,包括查看服务列表或详情、查看实例列表或详情等操作。 |
ucs readonlyaccess |
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
