华为云UCS-UCS服务资源权限(IAM授权):UCS功能所需的最小权限
下载华为云UCS用户手册完整版
UCS功能所需的最小权限
华为云各服务之间存在业务交互关系,UCS也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述四种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为IAM用户授权时,应该遵循权限最小化的安全实践原则,表1列举了UCS各功能管理员、操作、只读权限所需要的最小权限。
- 如您的华为云账号为首次登录UCS控制台,需要为其授权,同意授权后,UCS将在统一身份认证服务为您创建名为ucs_admin_trust的委托,为保证UCS服务正常使用,请不要删除或者修改该委托。
- IAM用户所在用户组未授予任何权限的情况下,您将无法访问UCS控制台,请参考表1授予相关权限。
功能 |
权限类型 |
权限范围 |
最小权限 |
|---|---|---|---|
容器舰队 |
管理员权限 |
|
UCS FullAccess |
只读权限 |
查询集群、舰队的列表或详情 |
UCS ReadOnlyAccess |
|
华为云集群 |
管理员权限 |
对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
UCS FullAccess + CCE Administrator |
操作权限 |
对华为云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。 |
UCS CommonOperations + CCE Administrator |
|
只读权限 |
对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
UCS ReadOnlyAccess + CCE Administrator |
|
本地/附着/多云/伙伴云集群 |
管理员权限 |
本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 |
UCS FullAccess |
操作权限 |
本地/附着/多云/伙伴云集群及集群下大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限。 |
UCS CommonOperations + UCS RBAC权限(需要包含namespaces资源对象的list权限) |
|
只读权限 |
本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的只读权限。 |
UCS ReadOnlyAccess + UCS RBAC权限(需要包含namespaces资源对象的list权限) |
|
镜像仓库 |
管理员权限 |
容器镜像服务的所有权限,包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。 |
SWR Administrator |
权限管理 |
管理员权限 |
说明:
创建权限需要同时授予子用户IAM ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。 |
UCS FullAccess + IAM ReadOnlyAccess |
只读权限 |
查看权限列表或详情 |
UCS ReadOnlyAccess + IAM ReadOnlyAccess |
|
策略中心 |
管理员权限 |
|
UCS FullAccess |
只读权限 |
对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。 |
UCS CommonOperations 或 UCS ReadOnlyAccess |
|
服务网格 |
管理员权限 |
应用服务网格的所有权限,包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。 |
CCE Administrator |
流量分发 |
管理员权限 |
创建流量策略、暂停调度策略、删除调度策略等操作。 |
(推荐)UCS CommonOperations + DNS Administrator 或 UCS FullAccess + DNS Administrator |
只读权限 |
查看流量策略列表或详情 |
UCS ReadOnlyAccess + DNS Administrator |
|
容器智能分析 |
管理员权限 |
|
UCS CIAOperations |
云原生服务中心 |
管理员权限 |
云原生服务中心的所有权限,包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 |
UCS FullAccess |
只读权限 |
云原生服务中心的只读权限,包括查看服务列表或详情、查看实例列表或详情等操作。 |
UCS ReadOnlyAccess |
- 华为云UCS如何实现权限管理
- API网关权限管理_授权使用API网关_APIG权限策略和授权项
- 分布式云原生权限概述_华为云分布式云原生_华为云UCS权限概述
- 如何创建用户并授权使用应用运维管理服务_AOM_用户权限_创建用户_权限
- GaussDB权限管理_GaussDB数据库权限管理_高斯数据库权限管理_华为云
- 权限管理能力_怎么设置权限_云容器引擎
- 分布式云原生UCS集群_华为云分布式云原生_华为云UCS集群
- 分布式云原生入门指引_华为云分布式云原生_分布式云原生怎么用
- 分布式云原生网格类型_华为云分布式云原生_华为云UCS网格类型
- 分布式云原生服务中心_华为云分布式云原生_华为云UCS服务中心
