Пользовательские разрешения
С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к определенным типам ресурсов.
По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными ресурсами на основе разрешений.
IAM предоставляет два типа политик:
Fine-grained (детальная). Состоит из разрешений на основе API для операций с определенными типами ресурсов. Обеспечивает более детальный контроль, чем RBAC. Например, пользователи могут выполнять только базовые операции с CCE, такие как запуск виртуальных машин, но не могут удалять их.
RBAC. Пользователям в группе с назначенной политикой RBAC предоставляются все разрешения, необходимые для этого сервиса, например, разрешения на доступ и управление. Политики RBAC не поддерживают управление разрешениями для конкретной операции. Политики Kubernetes RBAC регулируют доступ к ресурсам кластера CCE, таким как рабочие нагрузки, сервисы и другие собственные ресурсы Kubernetes. Подробнее о Kubernetes RBAC.
Роль |
Описание |
Тип политики |
Зависимости |
|---|---|---|---|
CCE ReadOnlyAccess |
Разрешения только на чтение для кластеров CCE. |
Fine-grained |
Нет |
CCE FullAccess |
Разрешения на чтение и запись для кластеров CCE, включая создание, удаление и обновление кластера. |
Fine-grained |
Нет |
CCE Administrator |
Разрешения на чтение и запись для кластеров CCE и всех ресурсов (включая рабочие нагрузки и сервисы) в кластерах. |
IAM RBAC |
От ECS Administrator, VPC Administrator, EVS Administrator, IMS Administrator, SvcStg Admin.
|
Операция |
CCE ReadOnlyAccess |
CCE FullAccess |
CCE Administrator |
|---|---|---|---|
Создание кластера |
нет |
да |
да |
Удаление кластера |
нет |
да |
да |
Изменение кластера, например, параметры планирования узлов кластера и обеспечение поддержки RBAC для кластеров |
нет |
да |
да |
Расширение кластера |
нет |
да |
да |
Запуск кластера |
нет |
да |
да |
Остановка кластера |
нет |
да |
да |
Просмотр кластеров |
да |
да |
да |
Просмотр сведений о кластере |
да |
да |
да |
Добавление узла |
нет |
да |
да |
Удаление одного или несколько узлов |
нет |
да |
да |
Изменение узлов, например, названия |
нет |
да |
да |
Просмотр сведений об узле |
да |
да |
да |
Просмотр всех узлов |
да |
да |
да |
Просмотр всех Job |
да |
да |
да |
Удаление одного или несколько Job |
нет |
да |
да |
Просмотр сведений о Job |
да |
да |
да |
Создание хранилища |
нет |
да |
да |
Удаление хранилища |
нет |
да |
да |
Управление всеми ресурсами кластера Kubernetes |
да |
да |
да |
Выполнение всех операций с Elastic Cloud Server (ECS) |
нет |
да |
да |
Выполнение всех операций с Elastic Volume Service (EVS) |
нет |
да |
да |
Выполнение всех операций с Virtual Private Cloud (VPC), включая ELB |
нет |
да |
да |
Просмотр сведений о всех ресурсах в ECS |
да |
да |
да |
Просмотр всех ресурсов EVS |
да |
да |
да |
Просмотр сведений о ресурсах VPC, включая ELB |
да |
да |
да |
Просмотр сведений о ресурсах SFS |
да |
да |
да |
Просмотр сведений о ресурсах AOM |
да |
да |
да |
для Dev & Test