配置子账号对单个TKE集群的管理权限
操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在容器服务(TKE)控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置单个集群的策略。
操作步骤
配置对单个集群全读写权限
- 登录访问管理控制台。
- 在左侧导航栏中,单击【策略管理】,进入策略管理页面。
- 单击【新建自定义策略】,选择“按策略语法创建”方式。
- 选择“空白模板”类型,单击【下一步:编辑策略】。
- 自定义策略名称,将“编辑策略内容”替换为以下内容。
{
"version": "2.0",
"statement": [
{
"action": [
"ccs:*"
],
"resource": [
"qcs::ccs:sh::cluster/cls-XXXXXXX", // 替换成您想赋予权限的指定地域下的集群
"qcs::cvm:sh::instance/*"
],
"effect": "allow"
},
{
"action": [
"cvm:*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"vpc:*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"clb:*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"monitor:*",
"cam:ListUsersForGroup",
"cam:ListGroups",
"cam:GetGroup",
"cam:GetRole"
],
"resource": "*",
"effect": "allow"
}
]
}
-
在“编辑策略内容”中,将
qcs::ccs:sh::cluster/cls-XXXXXXX修改为您想赋予权限的指定地域下的集群。 例如,您需要为广州地域的cls-69z7ek9l集群赋予全读写的权限,将qcs::ccs:sh::cluster/cls-XXXXXXX修改为"qcs::ccs:gz::cluster/cls-69z7ek9l"。
说明: 请替换成您想赋予权限的指定地域下的集群 ID。如果您需要允许子账号进行集群的扩缩容,还需要配置子账号用户支付权限。
-
单击【创建策略】,即可完成对单个集群全读写权限的配置。
配置对单个集群只读权限
- 登录访问管理控制台。
- 在左侧导航栏中,单击【策略管理】,进入策略管理页面。
- 单击【新建自定义策略】,选择“按策略语法创建”方式。
- 选择“空白模板”类型,单击【下一步:编辑策略】。
- 自定义策略名称,将“编辑策略内容”替换为以下内容。
{
"version": "2.0",
"statement": [
{
"action": [
"ccs:Describe*",
"ccs:Check*"
],
"resource": "qcs::ccs:gz::cluster/cls-1xxxxxx", // 替换成您想赋予权限的指定地域下的集群
"effect": "allow"
},
{
"action": [
"cvm:Describe*",
"cvm:Inquiry*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"vpc:Describe*",
"vpc:Inquiry*",
"vpc:Get*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"clb:Describe*"
],
"resource": "*",
"effect": "allow"
},
{
"effect": "allow",
"action": [
"monitor:*",
"cam:ListUsersForGroup",
"cam:ListGroups",
"cam:GetGroup",
"cam:GetRole"
],
"resource": "*"
}
]
}
-
在“编辑策略内容”中,将
qcs::ccs:gz::cluster/cls-1xxxxxx修改为您想赋予权限的指定地域下的集群。 例如,您需要为北京地域的cls-19a7dz9c集群赋予只读的权限,将qcs::ccs:gz::cluster/cls-1xxxxxx修改为qcs::ccs:bj::cluster/cls-19a7dz9c。
说明: 请替换成您想赋予权限的指定地域下的集群 ID。
-
单击【创建策略】,即可完成对单个集群只读权限的配置。