- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 常见问题
- 常见问题汇总
- 权限相关
- Envoy Sidecar 未就绪导致 Pod 启动失败
- Envoy 异常状态码 431 Request Header Fields Too Large
- Envoy 默认会将 Header 转换为小写
- Headless Service 相关问题
- Istio-init crash
- Virtual Service 不生效
- Virtual Service 路由匹配顺序问题
- 公网 Ingress Gateway 不通
- 启用 Smart DNS 后解析失败
- 地域感知不生效
- 客户端状态码 426 Upgrade Required
- 没有自动注入 Sidecar
- 熔断不生效
- 访问 StatefulSet Pod IP 返回 404
- 重试策略导致服务异常
- 链路追踪信息不完整
- TCM 政策
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 常见问题
- 常见问题汇总
- 权限相关
- Envoy Sidecar 未就绪导致 Pod 启动失败
- Envoy 异常状态码 431 Request Header Fields Too Large
- Envoy 默认会将 Header 转换为小写
- Headless Service 相关问题
- Istio-init crash
- Virtual Service 不生效
- Virtual Service 路由匹配顺序问题
- 公网 Ingress Gateway 不通
- 启用 Smart DNS 后解析失败
- 地域感知不生效
- 客户端状态码 426 Upgrade Required
- 没有自动注入 Sidecar
- 熔断不生效
- 访问 StatefulSet Pod IP 返回 404
- 重试策略导致服务异常
- 链路追踪信息不完整
- TCM 政策
- 词汇表
如您有自定义的权限管理诉求,您可以通过创建 CAM 自定义策略,并关联至子账号实现自定义授权。您可参考文本并根据实际业务诉求进行配置。
CAM 元素参考
CAM 自定义策略核心元素包括:操作(action)、资源(resource)、生效条件(condition)以及效力(effect)。
1. 操作(action)
2. 资源(resource)
3. 生效条件(condition)
描述策略生效的约束条件。条件包括操作符、操作键和操作值组成。条件值可包括时间、IP 地址等信息。
4. 效力(effect)
描述声明产生的结果是“允许”还是“显式拒绝”。包括 allow(允许)和 deny (显式拒绝)两种情况。该元素是必填项。
5. 自定义策略样例
该策略为:允许对广州的两个mesh实例:mesh-abcd1234 和 mesh-1234abcd 做获取详情操作。
{"version": "2.0","statement": [{"effect": "allow","resource": ["qcs::tcm:gz:uin/1234567:mesh/mesh-abcd1234","qcs::tcm:gz:uin/1234567:mesh/mesh-1234abcd"],"action": ["name/tcm:DescribeMesh"]}]}
CAM 中可授权的 TCM 资源
资源 | 授权策略中的资源描述方法 |
服务网格 | qcs::tcm:$region:$account:mesh/$meshid |
其中:
$region:描述地域信息,应为某个 region 的 ID,例如 gz 为广州。$account:描述资源拥有者的主账号信息,表示为 uin/${uin},例如 uin/12345678,若值为空则表示创建策略的 CAM 用户所属的主账号。$meshid:描述mesh实例信息,应为某个网格的 ID,或者 *。CAM 中可对 TCM 进行授权的接口
在 CAM 中,可以对 TCM mesh 资源进行以下操作(action)的授权。
Mesh 实例相关
API 操作 | API 描述 | 资源 |
CreateMesh | 创建服务网格 | mesh 资源 qcs::tcm:$region:$account:mesh/* |
DeleteMesh | 删除服务网格 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
DescribeMesh | 获取指定服务网格 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
ListMeshes | 获取服务网格列表 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
ModifyMesh | 修改服务网格配置 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
UpgradeMesh | 升级服务网格 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
Istio 资源相关
API 操作 | API 描述 | 资源 |
ForwardRequestRead | 读 Istio 的 CRD 资源 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
ForwardRequestWrite | 写 Istio 的 CRD 资源 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
服务发现相关
API 操作 | API 描述 | 资源 |
LinkClusterList | 关联集群到服务网格实例 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
UnlinkCluster | 解除关联集群 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
边缘代理网关相关
API 操作 | API 描述 | 资源 |
CreateIngressGateway | 创建 IngressGateway | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
DeleteGatewayInstance | 删除 IngressGateway | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
DescribeIngressGatewayList | 查询 IngressGateway 列表 | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
ModifyIngressGateway | 修改 IngressGateway | mesh 资源 qcs::tcm:$region:$account:mesh/$meshid |
体验环境相关
API 操作 | API 描述 | 资源 |
CreateTrial | 创建服务网格一键体验环境 | 只对接口进行鉴权 * |
DeleteTrial | 删除服务网格一键体验环境 | 只对接口进行鉴权 * |
RetryTrialTask | 重试创建服务网格一键体验环境 | 只对接口进行鉴权 * |
是
否
本页内容是否解决了您的问题?