Пользовательские разрешения CCE
С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к определенным типам ресурсов.
По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными ресурсами на основе разрешений.
IAM предоставляет два типа политик:
Fine-grained (детальная). Состоит из разрешений на основе API для операций с определенными типами ресурсов. Обеспечивает более детальный контроль, чем RBAC. Например, пользователи могут выполнять только базовые операции с CCE, такие как запуск виртуальных машин, но не могут удалять их.
RBAC. Пользователям в группе с назначенной политикой RBAC предоставляются все разрешения, необходимые для этого сервиса, например, разрешения на доступ и управление. Политики RBAC не поддерживают управление разрешениями для конкретной операции. Политики Kubernetes RBAC регулируют доступ к ресурсам кластера CCE, таким как рабочие нагрузки, сервисы и другие собственные ресурсы Kubernetes. Подробнее о Kubernetes RBAC.
Роль | Описание | Тип политики | Зависимости |
---|---|---|---|
CCE ReadOnlyAccess | Разрешения только на чтение для кластеров CCE. | Fine-grained | Нет |
CCE FullAccess | Разрешения на чтение и запись для кластеров CCE, включая создание, удаление и обновление кластера. | Fine-grained | Нет |
CCE Administrator | Разрешения на чтение и запись для кластеров CCE и всех ресурсов (включая рабочие нагрузки и сервисы) в кластерах. | IAM RBAC | От ECS Administrator, VPC Administrator, EVS Administrator, IMS Administrator, SvcStg Admin.
|
Операция | CCE ReadOnlyAccess | CCE FullAccess | CCE Administrator |
---|---|---|---|
Создание кластера | нет | да | да |
Удаление кластера | нет | да | да |
Изменение кластера, например, параметры планирования узлов кластера и обеспечение поддержки RBAC для кластеров | нет | да | да |
Расширение кластера | нет | да | да |
Запуск кластера | нет | да | да |
Остановка кластера | нет | да | да |
Просмотр кластеров | да | да | да |
Просмотр сведений о кластере | да | да | да |
Добавление узла | нет | да | да |
Удаление одного или несколько узлов | нет | да | да |
Изменение узлов, например, названия | нет | да | да |
Просмотр сведений об узле | да | да | да |
Просмотр всех узлов | да | да | да |
Просмотр всех Job | да | да | да |
Удаление одного или несколько Job | нет | да | да |
Просмотр сведений о Job | да | да | да |
Создание хранилища | нет | да | да |
Удаление хранилища | нет | да | да |
Управление всеми ресурсами кластера Kubernetes | да | да | да |
Выполнение всех операций с Elastic Cloud Server (ECS) | нет | да | да |
Выполнение всех операций с Elastic Volume Service (EVS) | нет | да | да |
Выполнение всех операций с Virtual Private Cloud (VPC), включая ELB | нет | да | да |
Просмотр сведений о всех ресурсах в ECS | да | да | да |
Просмотр всех ресурсов EVS | да | да | да |
Просмотр сведений о ресурсах VPC, включая ELB | да | да | да |
Просмотр сведений о ресурсах SFS | да | да | да |
Просмотр сведений о ресурсах AOM | да | да | да |