腾讯云容器服务 TKE 标准集群 - 使用自定义策略授权

容器服务 TKE

简介/价格/文档

腾讯云容器服务 TKE 标准集群 - 使用自定义策略授权

文档简介：

本文介绍如何自定义配置腾讯云容器服务 TKE 的自定义策略，授予子账号特定权限。您可参考文本并根据实际业务诉求进行配置。

*此产品及展示信息均由腾讯云官方提供。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

本文介绍如何自定义配置腾讯云容器服务 TKE 的自定义策略，授予子账号特定权限。您可参考文本并根据实际业务诉求进行配置。

策略语法说明

策略语法结构如下图所示：

action：表示接口。

resource：表示资源。

说明

您可自行编写策略语法，或通过访问管理 CAM 策略生成器创建自定义策略。可结合以下示例进行自定义策略配置：

配置子账号对单个 TKE 集群的管理权限

通过标签为子账号配置批量集群的全读写权限

TKE 接口权限配置

本节提供了集群、节点模块的多个功能所包含的子功能、对应云 API 接口、间接调用接口、权限控制资源级别以及 Action 字段展示相关信息。

集群模块

功能接口对照表如下：

功能	包含子功能	对应云 API 接口	间接调用接口	权限控制资源级别	Action 字段
创建空集群	Kubernetes 版本选择运行时组件选择选择 VPC 网络设置容器网络自定义镜像选择 Ipvs 设置	tke:CreateCluster	cam:GetRole account:DescribeUserData account:DescribeWhiteList tag:GetTagKeys cvm:GetVmConfigQuota vpc:DescribeVpcEx cvm:DescribeImages	创建集群是接口级别权限控制获取 VPC 列表，需要 VPC 的资源权限	"tke:CreateCluster", "cam:GetRole", "tag:GetTagKeys", "cvm:GetVmConfigQuota", "vpc:DescribeVpcEx", "cvm:DescribeImages"
使用已有 CVM 创建托管集群	创建空集群包含功能将已有 CVM 作为 Node 挂载安全组挂载数据盘开启自动调节		cvm:DescribeInstances vpc:DescribeSubnetEx cvm:DescribeSecurityGroups vpc:DescribeVpcEx cvm:DescribeImages cvm:ResetInstance cvm:DescribeKeyPairs	创建集群是接口级别权限控制获取 CVM 列表，需要 CVM 的资源权限	"tke:CreateCluster", "cvm:DescribeInstances", "vpc:DescribeSubnetEx", "cvm:DescribeSecurityGroups", "vpc:DescribeVpcEx", "cvm:DescribeImages", "cvm:ResetInstance", "cvm:DescribeKeyPairs"
使用已有 CVM 创建独立集群	创建空集群包含功能将已有 CVM 作为 Node 将已有 CVM 作为 Master&ETCD 挂载安全组挂载数据盘开启自动调节		cvm:DescribeInstances vpc:DescribeSubnetEx cvm:DescribeSecurityGroups vpc:DescribeVpcEx cvm:DescribeImages cvm:ResetInstance cvm:DescribeKeyPairs	创建集群是接口级别权限控制获取 VPC 列表，需要 VPC 的资源权限获取 CVM 列表，需要 CVM 的资源权限	"tke:CreateCluster", "cvm:DescribeInstances", "vpc:DescribeSubnetEx", "cvm:DescribeSecurityGroups", "vpc:DescribeVpcEx", "cvm:DescribeImages", "cvm:ResetInstance", "cvm:DescribeKeyPairs"
自动新建 CVM 创建托管集群	创建空集群包含功能购买 CVM 作为 node 挂载安全组挂载数据盘开启自动调节		cvm:DescribeSecurityGroups cvm:DescribeKeyPairs cvm:RunInstances vpc:DescribeSubnetEx vpc:DescribeVpcEx cvm:DescribeImages	创建集群是接口级别权限控制获取 VPC 列表，需要 VPC 的资源权限	"cvm:DescribeSecurityGroups", "cvm:DescribeKeyPairs", "cvm:RunInstances", "vpc:DescribeSubnetEx", "vpc:DescribeVpcEx", "cvm:DescribeImages", "tke:CreateCluster"
自动新建 CVM 创建独立集群	创建空集群包含功能购买 CVM 作为 Node 购买 CVM 作为 Master&ETCD 挂载安全组挂载数据盘开启自动调节		cvm:DescribeSecurityGroups cvm:DescribeKeyPairs cvm:RunInstancesvpc:DescribeSubnetEx vpc:DescribeVpcEx cvm:DescribeImages	创建集群是接口级别权限控制获取 VPC 列表，需要 VPC 的资源权限	"cvm:DescribeSecurityGroups", "cvm:DescribeKeyPairs", "cvm:RunInstances", "vpc:DescribeSubnetEx", "vpc:DescribeVpcEx", "cvm:DescribeImages", "tke:CreateCluster"
查询集群列表	-	tke:DescribeClusters	-	获取集群列表，需要集群的资源权限	"tke:DescribeClusters"
显示集群凭证	-	tke:DescribeClusterSecurity	-	显示集群凭证，需要集群的资源权限	"tke:DescribeClusterSecurity"
开启/关闭集群内/外网访问地址	创建托管集群外网访问端口创建集群访问端口修改托管集群外网端口的安全策略查询托管集群开启外网端口流程状态删除托管集群外网访问端口删除集群访问端口	tke:CreateClusterEndpointVip tke:CreateClusterEndpoint tke:ModifyClusterEndpointSP tke:DescribeClusterEndpointVipStatus tke:DescribeClusterEndpointStatus tke:DeleteClusterEndpointVip tke:DeleteClusterEndpoint	-	开启关闭集群访问，需要集群资源的权限	-
删除集群	-	tke:DeleteCluster	tke:DescribeClusterInstances tke:DescribeInstancesVersion tke:DescribeClusterStatus	删除集群，需要集群的资源权限	"tke:DescribeClusterInstances", "tke:DescribeInstancesVersion", "tke:DescribeClusterStatus", "tke:DeleteCluster"

节点模块

功能接口对照表如下：

功能	包含子功能	对应云 API 接口	间接调用接口	权限控制资源级别	Atction 字段
添加已有节点	将已有节点加入到集群重新设置数据盘设置安全组	tke:AddExistedInstances	cvm:DescribeInstances vpc:DescribeSubnetEx cvm:DescribeSecurityGroups vpc:DescribeVpcEx cvm:DescribeImages cvm:ResetInstance cvm:DescribeKeyPairs cvm:ModifyInstancesAttribute tke:DescribeClusters	添加已有节点、需要对应集群的资源权限获取 CVM 列表，需要 CVM 的资源权限	"cvm:DescribeInstances", "vpc:DescribeSubnetEx", "cvm:DescribeSecurityGroups", "vpc:DescribeVpcEx", "cvm:DescribeImages", "cvm:ResetInstance", "cvm:DescribeKeyPairs", "tke:DescribeClusters", "tke:AddExistedInstances"
新建节点	新建节点加入到集群重新设置数据盘设置安全组	tke:CreateClusterInstances	cvm:DescribeSecurityGroups cvm:DescribeKeyPairs cvm:RunInstances vpc:DescribeSubnetEx vpc:DescribeVpcEx cvm:DescribeImages tke:DescribeClusters	新建节点、需要对应集群的资源权限	"cvm:DescribeSecurityGroups", "cvm:DescribeKeyPairs", "cvm:RunInstances", "vpc:DescribeSubnetEx", "vpc:DescribeVpcEx", "cvm:DescribeImages", "tke:DescribeClusters"
节点列表	查看集群节点列表	tke:DescribeClusterInstances	cvm:DescribeInstances tke:DescribeClusters	查看节点列表需要对应集群的资源权限获取 CVM 列表，需要 CVM 的资源权限	"cvm:DescribeInstances", "tke:DescribeClusters", "tke:DescribeClusterInstances"
移出节点	-	tke:DeleteClusterInstances	cvm:TerminateInstances tke:DescribeClusters	查看节点列表需要对应集群的资源权限获取 CVM 列表，需要 CVM 的资源权限删除节点，需要对应节点的销毁策略	"cvm:TerminateInstances", "tke:DescribeClusters", "tke:DeleteClusterInstances"

相似文档

腾讯云容器服务 TKE 标准集群 - 通过标签为子账号配置批量集群的全读写权限
操作场景：您可以通过使用访问管理（Cloud Access Management，CAM）策略让用户拥有在容器服务（Tencent Kubernetes Engine，TKE）控制台中查看和使用特定资源的权限。本文档中的示例介绍如何通过控制台，为子账号授予指定标签集群的权限。
腾讯云容器服务 TKE 标准集群 - 配置子账号对单个 TKE 集群的管理权限
操作场景：您可以通过使用访问管理（Cloud Access Management，CAM）策略让用户拥有在容器服务（Tencent Kubernetes Engine，TKE）控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置单个集群的策略。
腾讯云容器服务 TKE 标准集群 - 配置子账号对 TKE 服务全读写或只读权限
操作场景：您可以通过使用访问管理（Cloud Access Management，CAM）策略让用户拥有在容器服务（Tencent Kubernetes Engine，TKE）控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置部分权限的策略。
腾讯云容器服务 TKE 标准集群 - TKE Kubernetes 对象级权限控制概述
TKE 提供了对接 Kubernetes RBAC 的授权模式，便于对子账号进行细粒度的访问权限控制。该授权模式下，可通过容器服务控制台及 kubectl 两种方式进行集群内资源访问。如下图所示：
腾讯云容器服务 TKE 标准集群 - 授权模式对比
腾讯云容器服务 TKE 目前存在新旧两种授权模式，旧的授权模式无法进行 Kubernetes 级别的授权管理，建议您升级集群管理的授权模式，以便能够对集群内 Kubernetes 资源进行细粒度的权限控制。

文档中心

全民上云·上云补贴申领

免费试用（限企业）

策略语法说明

TKE 接口权限配置

集群模块

节点模块