tencent cloud

文档反馈

相关角色权限说明

最后更新时间:2024-08-07 21:55:37
    在使用 Prometheus 监控服务过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。在使用该服务的过程中主要涉及 CM_QCSRole 服务角色。本文接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。
    CM_QCSRole 角色默认关联的预设策略包含如下:
    QcloudAccessForCMRoleInPromHostingService:Prometheus 监控服务所需要的容器服务 TKE 权限。

    场景

    当您成功创建 Prometheus 服务实例之后,需要监控腾讯云容器服务(TKE)上运行的服务,为了可以更方便的集成容器服务,需要访问腾讯云容器服务(TKE)相关的 API 服务,需要您的授权委托,才能正常访问腾讯云容器服务(TKE)来安装基本的监控组件及获取对应监控组件的运行状态。
    此角色无需主动寻找配置,在未授权的情况下,在您成功创建 Prometheus 服务实例后,进入到对应实例管理下的 “集成容器服务” 时会自动弹出授权界面。

    授权步骤

    主账号授权步骤

    1. 当您成功创建 Prometheus 实例 后,在访问“集成容器服务”时将出现授权提示框,需要授权云监控相关权限,如下所示。
    2. 在子窗口中单击前往授权
    3. 在访问管理—角色管理页单击同意授权,提示授权成功即可。
    说明:
    此次授权只会出现一次,如果您已授权,则不再出现该授权提示框。

    子账号授权步骤

    主账号完成上述授权操作,成功创建了 CM_QCSRole 角色后,子账号无权限访问 CM_QCSRole 角色,需子账号对主账号授予 PassRole 权限,子账号才能在 Prometheus 监控服务中正常访问容器服务 TKE,否则访问容器服务列表时会提示失败。
    在授予子账号 PassRole 权限时,请确保您的子账号有以下权限:
    权限说明
    授予策略
    需授予子账号访问 CAM 权限,主账号授予子账号的 PassRole 权限才会生效
    QcloudCamReadOnlyAccess 或 QcloudCamFullAcces
    云监控策略依赖于云产品策略,因此授予子账号 PassRole 权限前,需确保子账号可在 TKE 下正常访问 TKE 资源
    为确保上述权限授予成功,请参考以下步骤授予子账号 cam:PassRole 权限。
    1. 使用主账号或具有管理权限的子账号创建如下自定义策略,策略语法如下:
    {
    "version": "2.0",
    "statement": [
    {
    "effect": "allow",
    "action": "cam:PassRole",
    "resource": "qcs::cam::uin/${OwnerUin}:roleName/CM_QCSRole"
    }
    ]
    }
    2. 新建完后,参考 访问管理-授权管理 在自定义策略下关联子账号即可。 授予子账号 cam:PassRole 权限之后,再次访问对应 Prometheus 实例管理下的“集成容器服务”页面,将出现授权提示框。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持