tencent cloud

在使用腾讯云容器服务（Tencnet Kubernetes Engines，TKE）的过程中，为了能够使用相关云资源，会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略，其中主要涉及到 TKE_QCSRole 和 IPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。

说明：

本文档示例角色均不包含容器镜像仓库相关授权策略，容器镜像服务权限详情请参见 TKE 镜像仓库资源级权限设置。

TKE_QCSRole 角色

开通容器服务后，腾讯云会授予您的账户 TKE_QCSRole 角色的权限。该容器服务角色默认关联多个预设策略，为获取相关权限，需在特定的授权场景下执行对应的预设策略授权操作。操作完成之后，对应策略会出现在该角色的已授权策略列表中。TKE_QCSRole 角色关联的预设策略包含如下：

默认关联预设策略

• QcloudAccessForTKERole：容器服务对云资源的访问权限。
• QcloudAccessForTKERoleInOpsManagement：日志服务等运维管理。

其他关联预设策略

• QcloudAccessForTKERoleInCreatingCFSStorageclass：容器服务操作文件存储（CFS）权限，包含增删查文件存储文件系统、查询文件系统挂载点等。
• QcloudCVMFinanceAccess：云服务器财务权限。

预设策略 QcloudAccessForTKERole

授权场景

当您已注册并登录腾讯云账号后，首次登录 容器服务控制台 时，需前往“访问管理”页面对当前账号授予腾讯云容器服务操作云服务器（CVM）、负载均衡（CLB）、云硬盘（CBS）等云资源的权限。

授权步骤

1. 登录 容器服务控制台，选择左侧导航栏中的集群，弹出服务授权窗口。
2. 单击前往访问管理，进入角色管理页面。
3. 单击同意授权，完成身份验证后即可成功授权。如下图所示：
   

权限内容

• 云服务器相关

  权限名称	权限说明
  cvm:DescribeInstances	查询服务器实例列表
  cvm:*Cbs*	云硬盘相关权限

• 标签相关

  权限名称	权限说明
  tag:*	标签相关所有功能

• 负载均衡相关

  权限名称	权限说明
  clb:*	负载均衡相关所有功能

• 容器服务相关

  权限名称	权限说明
  ccs:DescribeCluster	查询集群列表
  ccs:DescribeClusterInstances	查询集群节点信息

预设策略 QcloudAccessForTKERoleInOpsManagement

授权场景

该策略默认关联 TKE_QCSRole 角色，开通容器服务并完成 TKE_QCSRole 角色授权后，即可获得包含日志在内的各种运维相关功能的权限。

授权步骤

该策略与 预设策略 QcloudAccessForTKERole 同时授权，无需额外操作。

权限内容

日志服务相关

预设策略 QcloudAccessForTKERoleInCreatingCFSStorageclass

授权场景

使用腾讯云文件存储（CFS）扩展组件，能够帮助您在容器集群中使用文件存储。首次使用该插件时，需通过容器服务进行文件存储中文件系统等相关资源的授权操作。

授权步骤

1. 登录 容器服务控制台，单击左侧导航栏中集群。
2. 在“集群管理”页面中，选择地域及集群后，进入“集群详情”页。
3. 在“集群详情”页的左侧导航栏中选择组件管理，单击新建。
4. 在“组件管理”页面中，当扩展组件首次选择为 “CFS 腾讯云文件存储” 时，单击页面下方的服务授权。如下图所示：
   
5. 在弹出的“服务授权”窗口中，单击访问管理。
6. 在“角色管理”页面中，单击同意授权并完成身份验证即可成功授权。

权限内容

文件存储相关

预设策略 QcloudCVMFinanceAccess

授权步骤

1. 登录访问管理控制台，选择左侧导航栏的 角色 。
2. 在“角色”列表页面中，单击 TKE_QCSRole 进入该角色管理页面。如下图所示：
   
3. 选择 “TKE_QCSRole” 页面中的关联策略，并在弹出的“风险提醒”窗口中进行确认。
4. 在弹出的“关联策略”窗口中，找到 QcloudCVMFinanceAccess 策略并勾选。如下图所示：
   
5. 单击确定即可完成授权。

权限内容

IPAMDofTKE_QCSRole 角色

IPAMDofTKE_QCSRole 角色为容器服务的 IPAMD 支持服务角色。被授予该角色的权限后，在本文描述的授权场景下需进行预设策略关联操作。完成操作后，以下策略会出现在该角色的已授权策略列表中：

QcloudAccessForIPAMDofTKERole：容器服务 IPAMD 支持（TKE IPAMD）对云资源的访问权限。

预设策略 QcloudAccessForIPAMDofTKERole

授权场景

在首次使用 VPC-CNI 网络模式创建集群时，需要首先对容器服务 IPAMD 支持（TKE IPAMD）对云资源的访问权限进行授权，以便能够正常使用 VPC-CNI 网络模式。

授权步骤

1. 登录 容器服务控制台，单击左侧导航栏中集群。
2. 在“集群管理”页面中，单击集群列表上方的新建或使用模板新建。
3. 在“创建集群”页面的设置“集群信息”步骤，选择“容器网络插件”中的VPC-CNI时，单击服务授权。如下图所示：
   
4. 在弹出的“服务授权”窗口中，单击前往访问管理。
5. 在“角色管理”页面中，单击同意授权并完成身份验证即可成功授权。

权限内容

• 云服务器相关

  权限名称	权限说明
  cvm:DescribeInstances	查看实例列表

• 标签相关

  权限名称	权限说明
  tag:GetResourcesByTags	通过标签查询资源列表
  tag:ModifyResourceTags	批量修改资源关联的标签
  tag:GetResourceTagsByResourceIds	查看资源关联的标签

• 私有网络相关

  权限名称	权限说明
  vpc:DescribeSubnet	查询子网列表
  vpc:CreateNetworkInterface	创建弹性网卡
  vpc:DescribeNetworkInterfaces	查询弹性网卡列表
  vpc:AttachNetworkInterface	弹性网卡绑定云服务器
  vpc:DetachNetworkInterface	弹性网卡解绑云服务器
  vpc:DeleteNetworkInterface	删除弹性网卡
  vpc:AssignPrivateIpAddresses	弹性网卡申请内网 IP
  vpc:UnassignPrivateIpAddresses	弹性网卡退还内网 IP
  vpc:MigratePrivateIpAddress	弹性网卡内网 IP 迁移
  vpc:DescribeSubnetEx	查询子网列表
  vpc:DescribeVpcEx	查询对等连接
  vpc:DescribeNetworkInterfaceLimit	查询弹性网卡配额
  vpc:DescribeVpcPrivateIpAddresses	查询 VPC 内网 IP 信息