在使用腾讯云容器服务(Tencnet Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到 TKE_QCSRole
和 IPAMDofTKE_QCSRole
两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。
说明:本文档示例角色均不包含容器镜像仓库相关授权策略,容器镜像服务权限详情请参见 TKE 镜像仓库资源级权限设置。
开通容器服务后,腾讯云会授予您的账户 TKE_QCSRole
角色的权限。该容器服务角色默认关联多个预设策略,为获取相关权限,需在特定的授权场景下执行对应的预设策略授权操作。操作完成之后,对应策略会出现在该角色的已授权策略列表中。TKE_QCSRole
角色关联的预设策略包含如下:
QcloudAccessForTKERole
:容器服务对云资源的访问权限。QcloudAccessForTKERoleInOpsManagement
:日志服务等运维管理。QcloudAccessForTKERoleInCreatingCFSStorageclass
:容器服务操作文件存储(CFS)权限,包含增删查文件存储文件系统、查询文件系统挂载点等。QcloudCVMFinanceAccess
:云服务器财务权限。当您已注册并登录腾讯云账号后,首次登录 容器服务控制台 时,需前往“访问管理”页面对当前账号授予腾讯云容器服务操作云服务器(CVM)、负载均衡(CLB)、云硬盘(CBS)等云资源的权限。
权限名称 | 权限说明 |
---|---|
cvm:DescribeInstances |
查询服务器实例列表 |
cvm:*Cbs* |
云硬盘相关权限 |
权限名称 | 权限说明 |
---|---|
tag:* |
标签相关所有功能 |
权限名称 | 权限说明 |
---|---|
clb:* |
负载均衡相关所有功能 |
权限名称 | 权限说明 |
---|---|
ccs:DescribeCluster |
查询集群列表 |
ccs:DescribeClusterInstances |
查询集群节点信息 |
该策略默认关联 TKE_QCSRole
角色,开通容器服务并完成 TKE_QCSRole
角色授权后,即可获得包含日志在内的各种运维相关功能的权限。
该策略与 预设策略 QcloudAccessForTKERole 同时授权,无需额外操作。
日志服务相关
权限名称 | 权限说明 |
---|---|
cls:listTopic |
列出指定日志集下的日志主题列表 |
cls:getTopic |
查看日志主题信息 |
cls:createTopic |
创建日志主题 |
cls:modifyTopic |
修改日志主题 |
cls:deleteTopic |
删除日志主题 |
cls:listLogset |
列出日志集列表 |
cls:getLogset |
查看日志集信息 |
cls:createLogset |
创建日志集 |
cls:modifyLogset |
修改日志集 |
cls:deleteLogset |
删除日志集 |
cls:listMachineGroup |
列出机器组列表 |
cls:getMachineGroup |
查看机器组信息 |
cls:createMachineGroup |
创建机器组 |
cls:modifyMachineGroup |
修改机器组 |
cls:deleteMachineGroup |
删除机器组 |
cls:getMachineStatus |
查看机器组状态 |
cls:pushLog |
上传日志 |
cls:searchLog |
查询日志 |
cls:downloadLog |
下载日志 |
cls:getCursor |
根据时间获取游标 |
cls:getIndex |
查看索引 |
cls:modifyIndex |
修改索引 |
cls:agentHeartBeat |
心跳 |
cls:getConfig |
获取推流器配置信息 |
使用腾讯云文件存储(CFS)扩展组件,能够帮助您在容器集群中使用文件存储。首次使用该插件时,需通过容器服务进行文件存储中文件系统等相关资源的授权操作。
文件存储相关
权限名称 | 权限说明 |
---|---|
cfs:CreateCfsFileSystem | 创建文件系统 |
cfs:DescribeCfsFileSystems | 查询文件系统 |
cfs:DescribeMountTargets | 查询文件系统挂载点 |
cfs:DeleteCfsFileSystem | 删除文件系统 |
QcloudCVMFinanceAccess
策略并勾选。如下图所示:权限名称 | 权限说明 |
---|---|
finance:* |
云服务器财务权限 |
IPAMDofTKE_QCSRole
角色为容器服务的 IPAMD 支持服务角色。被授予该角色的权限后,在本文描述的授权场景下需进行预设策略关联操作。完成操作后,以下策略会出现在该角色的已授权策略列表中:
QcloudAccessForIPAMDofTKERole
:容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限。
在首次使用 VPC-CNI 网络模式创建集群时,需要首先对容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限进行授权,以便能够正常使用 VPC-CNI 网络模式。
权限名称 | 权限说明 |
---|---|
cvm:DescribeInstances |
查看实例列表 |
权限名称 | 权限说明 |
---|---|
tag:GetResourcesByTags |
通过标签查询资源列表 |
tag:ModifyResourceTags |
批量修改资源关联的标签 |
tag:GetResourceTagsByResourceIds |
查看资源关联的标签 |
权限名称 | 权限说明 |
---|---|
vpc:DescribeSubnet |
查询子网列表 |
vpc:CreateNetworkInterface |
创建弹性网卡 |
vpc:DescribeNetworkInterfaces |
查询弹性网卡列表 |
vpc:AttachNetworkInterfac e |
弹性网卡绑定云服务器 |
vpc:DetachNetworkInterface |
弹性网卡解绑云服务器 |
vpc:DeleteNetworkInterface |
删除弹性网卡 |
vpc:AssignPrivateIpAddresses |
弹性网卡申请内网 IP |
vpc:UnassignPrivateIpAddresses |
弹性网卡退还内网 IP |
vpc:MigratePrivateIpAddress |
弹性网卡内网 IP 迁移 |
vpc:DescribeSubnetEx |
查询子网列表 |
vpc:DescribeVpcEx |
查询对等连接 |
vpc:DescribeNetworkInterfaceLimit |
查询弹性网卡配额 |
vpc:DescribeVpcPrivateIpAddresses |
查询 VPC 内网 IP 信息 |
本页内容是否解决了您的问题?