tencent cloud

文档反馈

配置子账号对单个 TKE 集群的管理权限

最后更新时间:2022-01-25 10:36:21

    操作场景

    您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在容器服务(Tencent Kubernetes Engine,TKE)控制台中查看和使用特定资源的权限。本文档中的示例指导您在控制台中配置单个集群的策略。

    操作步骤

    配置对单个集群全读写权限

    1. 登录 CAM 控制台

    2. 在左侧导航栏中,单击 策略,进入策略管理页面。

    3. 单击新建自定义策略,选择 “按策略语法创建” 方式。

    4. 选择 “空白模板” 类型,单击下一步

    5. 自定义策略名称,将 “编辑策略内容” 替换为以下内容。

      {
      "version": "2.0",
      "statement": [
          {
              "action": [
                  "tke:*"
              ],
              "resource": [
                  "qcs::tke:sh::cluster/cls-XXXXXXX",
                  "qcs::cvm:sh::instance/*"
              ],
              "effect": "allow"
          },
          {
              "action": [
                  "cvm:*"
              ],
              "resource": "*",
              "effect": "allow"
          },
          {
              "action": [
                  "vpc:*"
              ],
              "resource": "*",
              "effect": "allow"
          },
          {
              "action": [
                  "clb:*"
              ],
              "resource": "*",
              "effect": "allow"
          },
          {
              "action": [
                  "monitor:*",
                  "cam:ListUsersForGroup",
                  "cam:ListGroups",
                  "cam:GetGroup",
                  "cam:GetRole"
              ],
              "resource": "*",
              "effect": "allow"
          }
      ]
      }
      
    6. 在 “编辑策略内容” 中,将 qcs::tke:sh::cluster/cls-XXXXXXX 修改为您想赋予权限的指定地域下的集群。如下图所示:
      例如,您需要为广州地域的 cls-69z7ek9l 集群赋予全读写的权限,将 qcs::tke:sh::cluster/cls-XXXXXXX 修改为 "qcs::tke:gz::cluster/cls-69z7ek9l"
      Edit Policy Content

      注意

      请替换成您想赋予权限的指定地域下的集群 ID。如果您需要允许子账号进行集群的扩缩容,还需要配置子账号用户支付权限。

    7. 单击创建策略,即可完成对单个集群全读写权限的配置。

    配置对单个集群只读权限

    1. 登录 CAM 控制台

    2. 在左侧导航栏中,单击 策略,进入策略管理页面。

    3. 单击新建自定义策略,选择 “按策略语法创建” 方式。

    4. 选择 “空白模板” 类型,单击下一步

    5. 自定义策略名称,将 “编辑策略内容” 替换为以下内容。

      {
      "version": "2.0",
      "statement": [
          {
              "action": [
                  "tke:Describe*",
                  "tke:Check*"
              ],
              "resource": "qcs::tke:gz::cluster/cls-1xxxxxx",
              "effect": "allow"
          },
          {
              "action": [
                  "cvm:Describe*",
                  "cvm:Inquiry*"
              ],
              "resource": "*",
              "effect": "allow"
          },
          {
              "action": [
                  "vpc:Describe*",
                  "vpc:Inquiry*",
                  "vpc:Get*"
              ],
              "resource": "*",
              "effect": "allow"
          },
          {
              "action": [
                  "clb:Describe*"
              ],
              "resource": "*",
              "effect": "allow"
          },
          {
              "effect": "allow",
              "action": [
                  "monitor:*",
                  "cam:ListUsersForGroup",
                  "cam:ListGroups",
                  "cam:GetGroup",
                  "cam:GetRole"
              ],
              "resource": "*"
          }
      ]
      }
      
    6. 在 “编辑策略内容” 中,将 qcs::tke:gz::cluster/cls-1xxxxxx 修改为您想赋予权限的指定地域下的集群。如下图所示:
      例如,您需要为北京地域的 cls-19a7dz9c 集群赋予只读的权限,将 qcs::tke:gz::cluster/cls-1xxxxxx 修改为 qcs::tke:bj::cluster/cls-19a7dz9c
      Edit Policy Content 2

    7. 单击创建策略,即可完成对单个集群只读权限的配置。

    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持