文档中心

上云无忧 > 文档中心 > 百度智能云容器引擎服务 CCE CCE_IAM策略授权
百度智能云
容器引擎服务CCE
简介/价格/文档
百度智能云容器引擎服务 CCE CCE_IAM策略授权

文档简介:
CCE 基于 IAM 策略授权,指的是百度智能云账号的主用户(或拥有系统管理员权限的子用户)通过多用户访问控制(IAM),将预定义的 CCE 系统策略或者自定义策略授予子用户/用户组,让其拥有 CCE 集群级别(集群、节点、节点组等资源)的只读/管理权限,授权将作用于 CCE 整个产品。
*此产品及展示信息均由百度智能云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

概述

CCE 基于 IAM 策略授权,指的是百度智能云账号的主用户(或拥有系统管理员权限的子用户)通过多用户访问控制(IAM),将预定义的 CCE 系统策略或者自定义策略授予子用户/用户组,让其拥有 CCE 集群级别(集群、节点、节点组等资源)的只读/管理权限,授权将作用于 CCE 整个产品。【IAM 详细说明可见:多用户访问控制】

本节将介绍 CCE 基于 IAM 策略授权的流程及使用方法。

注:本节对于 CCE IAM 策略的授权,只包括 CCE 集群级别资源以及关联云产品/服务的权限,不包括集群命名空间级别 Kubernetes 资源的权限。对命名空间 Kubernetes 资源的操作授权,请见下一节 CCE RBAC 授权 。

Step 1 :创建子用户

  1. 百度智能云账号的主用户(或拥有系统管理员权限的子用户)登录后,在控制台右上角个人信息中选择“多用户访问控制”,进入多用户访问控制(IAM)概览页面。

  1. 在左侧导航栏点击“用户管理 > 子用户”,在“子用户管理”列表页,点击“新建子用户”。

  1. 在“新建子用户”弹窗中,完成“用户名”、“访问方式”等信息的填写和确认,返回“子用户管理”列表页,即可查看已创建的子用户。

Step 2 :系统策略授权

IAM 系统策略是不同云产品/服务提供的预设策略,即常用操作的权限集合,实现产品级别的权限控制。IAM 系统策略可直接对子用户进行授权,但不能修改策略配置。

CCE IAM 系统策略

CCE 目前提供两种 IAM 系统策略:开发管理策略(CCEDevelopPolicy)、完全控制管理策略(CCEFullControlAccessPolicy)。

温馨提示:

CCE 的关联云产品/服务较多,为了让您的授权过程更加简单高效,CCE IAM 系统策略配置包含了常用关联云产品/服务的操作权限。

您只需为子用户授权一次 CCE IAM 系统策略,即可让其拥有 CCE 集群、节点资源和关联云产品/服务的只读/管理权限,而无需理解多种云产品策略并进行多次授权。

若系统策略不能满足您的授权需求,可以创建自定义策略允许或拒绝相关云产品/服务的操作。

策略名称 策略描述 权限范围
CCEDevelopPolicy CCE 开发管理策略:
包括 CCE 集群、节点、节点组等集群级别资源的只读权限,以及 BCC、CDS、VPC、EIP、BLB、CCR 等相关云产品/服务的只读权限。不包括集群命名空间级别的权限。

对于需要对业务应用进行部署和变更的开发人员来说,授予该策略后,再通过 CCE RBAC 授权具体集群和命名空间的运维开发权限,即可进行创建工作负载等 Kubernetes 资源的操作。 		集群/节点资源操作:
查看集群/节点/节点组的列表/详情
查看集群/节点健康检查
查看/下载集群kubeconfig
查看节点组伸缩配置/伸缩活动
查看集群快照列表
查看权限管理列表
查看组件介绍详情
查看集群/节点监控
查看集群/节点日志
查看集群/节点事件
查看Helm模板/Helm实例
查看/拉取镜像仓库镜像
查看镜像仓库命名空间

关联云产品/服务操作:
查看计算资源BCC、BBC,存储资源CDS、BOS,网络资源VPC、子网、安全组、BLB、EIP、ENI、ACL等,以及查看监控服务BCM、容器镜像服务CCR、ElasticSearch服务
CCEFullControlAccessPolicy CCE 完全控制管理策略:
包括 CCE 集群、节点、节点组等集群级别资源的管理权限,以及 BCC、CDS、VPC、EIP、BLB、CCR 等相关云产品/服务的操作权限。不包括集群命名空间级别的权限。

对于需要创建、管理集群,扩缩容节点资源,对业务部署运行环境进行变更、升级、监控、维护的运维人员来说,授予该策略即可。 		集群/节点资源操作:
创建/删除集群/节点组
添加/移出节点
升级集群版本
变更节点组配置
调整节点组节点数
创建/删除集群快照
安装/升级/卸载组件
配置容器监控/报警
创建/删除日志规则
开关事件持久化/异常事件推送
创建/更新/删除Helm实例
推送镜像到镜像仓库
创建/删除镜像仓库命名空间

关联云产品/服务操作:
运维操作计算资源BCC、BBC,存储资源CDS、BOS,网络资源VPC、子网、安全组、BLB、EIP、ENI、ACL等,以及操作容器镜像服务CCR、ElasticSearch服务

上述 CCE IAM 系统策略的配置内容详情,可在 IAM 控制台“策略管理 > 权限策略列表”中搜索和查看:

对子用户授权 CCE IAM 系统策略

在 IAM 控制台左侧导航栏点击“用户管理 > 子用户管理“列表页,在目标子用户的操作列中点击“编辑权限”。在弹窗中搜索并勾选 CCE 的系统策略,点击确认即可完成授权。

Step 3(可选):对用户组授权策略

  1. 若一组子用户需要被授予相同的策略权限,即可在 IAM 控制台左侧导航栏点击“组管理”,在“组管理”列表页,点击“创建新组”。

  2. 在创建新组页面,可选择策略和多个子用户,即可为一组子用户授予相同的策略权限。

Step 4(可选):配置自定义策略

若系统策略不能满足您的授权需求,可以创建自定义策略允许或拒绝相关云产品/服务的操作。策略的语法结构以及字段内容的定义,可在 IAM 控制台“权限策略列表”中查看上述 CCE IAM 系统策略的配置内容详情,参考并定义符合预期的策略。【自定义策略功能使用说明可见:管理 IAM 策略】

Step 5 :子用户登录

完成对子用户的授权后,子用户通过“子用户登录链接”使用创建子用户时定义的用户名和密码,即可登录百度智能云的管理控制台,并且可以看到 CCE 的入口,点击即可进入 CCE 控制台进行使用。

相似文档
  • 百度智能云容器引擎服务 CCE CCE_RBAC授权
    本文介绍如何为子用户配置RBAC权限,实现对CCE集群命名空间的权限控制。 CCE集群服务已完成RBAC集群权限管理系统升级: 禁止未完成RBAC权限授予的子用户访问集群资源,请及时联系主账号完成RBAC授权,以免带来生产上的不便。 子用户将只拥有被指定授予的集群访问权限,原有的默认访问权限将被禁止。
  • 百度智能云容器引擎服务 CCE 集群 OIDC 认证
    本文介绍 CCE 集群 OIDC 认证、启用说明,以及如何与 RBAC 结合使用。 认证说明: CCE 集群 OIDC 认证依赖百度云 IAM 的身份认证。支持 IAM 用户、IAM 角色认证。 CCE 集群默认仅支持基于 X509 证书的认证方式。仅新版 CCE 集群支持在创建时选择开启 OIDC 认证。
  • 百度智能云容器引擎服务 CCE 镜像仓库基本操作
    镜像仓库为您提供安全可靠、简单易用的容器镜像托管服务,为您降低Registry的搭建运维成本,提升云原生应用的交付能力和体验。 您可以使用容器引擎CCE提供的镜像仓库功能 容器引擎-镜像仓库。
  • 百度智能云容器引擎服务 CCE 使用容器镜像构建服务
    百度智能云镜像构建服务支持在页面上配置基于代码仓库或Dockerfile的镜像构建规则,并由用户手动触发/代码仓库变更自动触发镜像构建,打通用户代码变更到容器部署的中间环节,方便用户更高效便捷地部署容器化服务。 注:Dockerfile中可以记录构建Docker镜像所需的一系列命令和参数,关于Dockerfile的格式和编写方法,请参考Docker官方文档。
  • 百度智能云容器引擎服务 CCE 管理虚拟节点
    本文档主要介绍虚拟节点和BCI,以及如何通过在CCE中创建虚拟节点创建BCI Pod。 百度智能云容器实例BCI提供无服务器化的容器资源。您只需提供容器镜像及启动容器所需的配置参数,即可运行容器,而无需关心这些容器如何被调度部署到底层的物理服务器资源中。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部