- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- TKE 标准集群指南
- TKE 标准集群概述
- 购买 TKE 标准集群
- 容器服务高危操作
- 云上容器应用部署 Check List
- 开源组件
- 权限管理
- 集群管理
- 镜像
- Worker 节点介绍
- 普通节点管理
- 原生节点管理
- 超级节点管理
- 注册节点管理
- 内存压缩
- GPU 共享
- Kubernetes 对象管理
- Service 管理
- Ingress 管理
- 存储管理
- 策略管理
- 应用与组件功能管理说明
- 组件管理
- 扩展组件概述
- 组件的生命周期管理
- Cluster Autoscaler 说明
- OOMGuard 说明
- NodeProblemDetectorPlus 说明
- NodeLocalDNSCache 说明
- DNSAutoscaler 说明
- COS-CSI 说明
- CFS-CSI 说明
- CFSTURBO-CSI 说明
- CBS-CSI 说明
- UserGroupAccessControl 说明
- TCR 说明
- TCR Hosts Updater
- DynamicScheduler 说明
- DeScheduler 说明
- Network Policy 说明
- Nginx-ingress 说明
- HPC 说明
- tke-monitor-agent 说明
- tke-log-agent 说明
- GPU-Manager 说明
- 应用管理
- 应用市场
- 网络管理
- 集群运维
- 日志管理
- 备份中心
- 远程终端
- TKE Serverless 集群指南
- TKE 注册集群指南
- TKE Insight
- TKE 调度
- 云原生服务指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Elastic Cluster APIs
- Resource Reserved Coupon APIs
- Cluster APIs
- AcquireClusterAdminRole
- CreateClusterEndpoint
- CreateClusterEndpointVip
- DeleteCluster
- DeleteClusterEndpoint
- DeleteClusterEndpointVip
- DescribeAvailableClusterVersion
- DescribeClusterAuthenticationOptions
- DescribeClusterCommonNames
- DescribeClusterEndpointStatus
- DescribeClusterEndpointVipStatus
- DescribeClusterEndpoints
- DescribeClusterKubeconfig
- DescribeClusterLevelAttribute
- DescribeClusterLevelChangeRecords
- DescribeClusterSecurity
- DescribeClusterStatus
- DescribeClusters
- DescribeEdgeAvailableExtraArgs
- DescribeEdgeClusterExtraArgs
- DescribeResourceUsage
- DisableClusterDeletionProtection
- EnableClusterDeletionProtection
- GetClusterLevelPrice
- GetUpgradeInstanceProgress
- ModifyClusterAttribute
- ModifyClusterAuthenticationOptions
- ModifyClusterEndpointSP
- UpgradeClusterInstances
- CreateBackupStorageLocation
- CreateCluster
- DeleteBackupStorageLocation
- DescribeBackupStorageLocations
- DescribeEncryptionStatus
- DisableEncryptionProtection
- EnableEncryptionProtection
- UpdateClusterKubeconfig
- UpdateClusterVersion
- Third-party Node APIs
- Network APIs
- Node APIs
- Node Pool APIs
- TKE Edge Cluster APIs
- CheckEdgeClusterCIDR
- DescribeAvailableTKEEdgeVersion
- DescribeECMInstances
- DescribeEdgeCVMInstances
- DescribeEdgeClusterInstances
- DescribeEdgeClusterUpgradeInfo
- DescribeTKEEdgeClusterStatus
- ForwardTKEEdgeApplicationRequestV3
- DescribeEdgeLogSwitches
- CreateECMInstances
- CreateEdgeCVMInstances
- CreateEdgeLogConfig
- DeleteECMInstances
- DeleteEdgeCVMInstances
- DeleteEdgeClusterInstances
- DeleteTKEEdgeCluster
- DescribeTKEEdgeClusterCredential
- DescribeTKEEdgeExternalKubeconfig
- DescribeTKEEdgeScript
- InstallEdgeLogAgent
- UninstallEdgeLogAgent
- UpdateEdgeClusterVersion
- DescribeTKEEdgeClusters
- CreateTKEEdgeCluster
- Cloud Native Monitoring APIs
- Scaling group APIs
- Super Node APIs
- Add-on APIs
- Other APIs
- Data Types
- Error Codes
- TKE API 2022-05-01
- 常见问题
- 服务协议
- 联系我们
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- TKE 标准集群指南
- TKE 标准集群概述
- 购买 TKE 标准集群
- 容器服务高危操作
- 云上容器应用部署 Check List
- 开源组件
- 权限管理
- 集群管理
- 镜像
- Worker 节点介绍
- 普通节点管理
- 原生节点管理
- 超级节点管理
- 注册节点管理
- 内存压缩
- GPU 共享
- Kubernetes 对象管理
- Service 管理
- Ingress 管理
- 存储管理
- 策略管理
- 应用与组件功能管理说明
- 组件管理
- 扩展组件概述
- 组件的生命周期管理
- Cluster Autoscaler 说明
- OOMGuard 说明
- NodeProblemDetectorPlus 说明
- NodeLocalDNSCache 说明
- DNSAutoscaler 说明
- COS-CSI 说明
- CFS-CSI 说明
- CFSTURBO-CSI 说明
- CBS-CSI 说明
- UserGroupAccessControl 说明
- TCR 说明
- TCR Hosts Updater
- DynamicScheduler 说明
- DeScheduler 说明
- Network Policy 说明
- Nginx-ingress 说明
- HPC 说明
- tke-monitor-agent 说明
- tke-log-agent 说明
- GPU-Manager 说明
- 应用管理
- 应用市场
- 网络管理
- 集群运维
- 日志管理
- 备份中心
- 远程终端
- TKE Serverless 集群指南
- TKE 注册集群指南
- TKE Insight
- TKE 调度
- 云原生服务指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Elastic Cluster APIs
- Resource Reserved Coupon APIs
- Cluster APIs
- AcquireClusterAdminRole
- CreateClusterEndpoint
- CreateClusterEndpointVip
- DeleteCluster
- DeleteClusterEndpoint
- DeleteClusterEndpointVip
- DescribeAvailableClusterVersion
- DescribeClusterAuthenticationOptions
- DescribeClusterCommonNames
- DescribeClusterEndpointStatus
- DescribeClusterEndpointVipStatus
- DescribeClusterEndpoints
- DescribeClusterKubeconfig
- DescribeClusterLevelAttribute
- DescribeClusterLevelChangeRecords
- DescribeClusterSecurity
- DescribeClusterStatus
- DescribeClusters
- DescribeEdgeAvailableExtraArgs
- DescribeEdgeClusterExtraArgs
- DescribeResourceUsage
- DisableClusterDeletionProtection
- EnableClusterDeletionProtection
- GetClusterLevelPrice
- GetUpgradeInstanceProgress
- ModifyClusterAttribute
- ModifyClusterAuthenticationOptions
- ModifyClusterEndpointSP
- UpgradeClusterInstances
- CreateBackupStorageLocation
- CreateCluster
- DeleteBackupStorageLocation
- DescribeBackupStorageLocations
- DescribeEncryptionStatus
- DisableEncryptionProtection
- EnableEncryptionProtection
- UpdateClusterKubeconfig
- UpdateClusterVersion
- Third-party Node APIs
- Network APIs
- Node APIs
- Node Pool APIs
- TKE Edge Cluster APIs
- CheckEdgeClusterCIDR
- DescribeAvailableTKEEdgeVersion
- DescribeECMInstances
- DescribeEdgeCVMInstances
- DescribeEdgeClusterInstances
- DescribeEdgeClusterUpgradeInfo
- DescribeTKEEdgeClusterStatus
- ForwardTKEEdgeApplicationRequestV3
- DescribeEdgeLogSwitches
- CreateECMInstances
- CreateEdgeCVMInstances
- CreateEdgeLogConfig
- DeleteECMInstances
- DeleteEdgeCVMInstances
- DeleteEdgeClusterInstances
- DeleteTKEEdgeCluster
- DescribeTKEEdgeClusterCredential
- DescribeTKEEdgeExternalKubeconfig
- DescribeTKEEdgeScript
- InstallEdgeLogAgent
- UninstallEdgeLogAgent
- UpdateEdgeClusterVersion
- DescribeTKEEdgeClusters
- CreateTKEEdgeCluster
- Cloud Native Monitoring APIs
- Scaling group APIs
- Super Node APIs
- Add-on APIs
- Other APIs
- Data Types
- Error Codes
- TKE API 2022-05-01
- 常见问题
- 服务协议
- 联系我们
- 词汇表
在使用腾讯云容器服务(Tencent Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到
TKE_QCSRole 和 IPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。说明:
TKE_QCSRole 角色
开通容器服务后,腾讯云会授予您的账户
TKE_QCSRole 角色的权限。该容器服务角色默认关联多个预设策略,为获取相关权限,需在特定的授权场景下执行对应的预设策略授权操作。操作完成之后,对应策略会出现在该角色的已授权策略列表中。TKE_QCSRole 角色关联的预设策略包含如下:默认关联预设策略
QcloudAccessForTKERole:容器服务对云资源的访问权限。QcloudAccessForTKERoleInOpsManagement:日志服务等运维管理。其他关联预设策略
QcloudAccessForTKERoleInCreatingCFSStorageclass:容器服务操作文件存储(CFS)权限,包含增删查文件存储文件系统、查询文件系统挂载点等。QcloudCVMFinanceAccess:云服务器财务权限。预设策略 QcloudAccessForTKERole
授权场景
授权步骤
1. 登录 容器服务控制台,选择左侧导航栏中的集群,弹出服务授权窗口。
2. 单击前往访问管理,进入角色管理页面。
3. 单击同意授权,完成身份验证后即可成功授权。如下图所示:
权限内容
云服务器相关
权限名称 | 权限说明 |
cvm:DescribeInstances | 查询服务器实例列表 |
cvm:*Cbs* | 云硬盘相关权限 |
标签相关
权限名称 | 权限说明 |
tag:* | 标签相关所有功能 |
负载均衡相关
权限名称 | 权限说明 |
clb:* | 负载均衡相关所有功能 |
容器服务相关
权限名称 | 权限说明 |
ccs:DescribeCluster | 查询集群列表 |
ccs:DescribeClusterInstances | 查询集群节点信息 |
预设策略 QcloudAccessForTKERoleInOpsManagement
授权场景
该策略默认关联
TKE_QCSRole 角色,开通容器服务并完成 TKE_QCSRole 角色授权后,即可获得包含日志在内的各种运维相关功能的权限。授权步骤
权限内容
日志服务相关
权限名称 | 权限说明 |
cls:listTopic | 列出指定日志集下的日志主题列表 |
cls:getTopic | 查看日志主题信息 |
cls:createTopic | 创建日志主题 |
cls:modifyTopic | 修改日志主题 |
cls:deleteTopic | 删除日志主题 |
cls:listLogset | 列出日志集列表 |
cls:getLogset | 查看日志集信息 |
cls:createLogset | 创建日志集 |
cls:modifyLogset | 修改日志集 |
cls:deleteLogset | 删除日志集 |
cls:listMachineGroup | 列出机器组列表 |
cls:getMachineGroup | 查看机器组信息 |
cls:createMachineGroup | 创建机器组 |
cls:modifyMachineGroup | 修改机器组 |
cls:deleteMachineGroup | 删除机器组 |
cls:getMachineStatus | 查看机器组状态 |
cls:pushLog | 上传日志 |
cls:searchLog | 查询日志 |
cls:downloadLog | 下载日志 |
cls:getCursor | 根据时间获取游标 |
cls:getIndex | 查看索引 |
cls:modifyIndex | 修改索引 |
cls:agentHeartBeat | 心跳 |
cls:getConfig | 获取推流器配置信息 |
预设策略 QcloudAccessForTKERoleInCreatingCFSStorageclass
授权场景
使用腾讯云文件存储(CFS)扩展组件,能够帮助您在容器集群中使用文件存储。首次使用该插件时,需通过容器服务进行文件存储中文件系统等相关资源的授权操作。
授权步骤
1. 登录 容器服务控制台,单击左侧导航栏中集群。
2. 在集群管理页面中,选择地域及集群后,进入集群详情页。
3. 在左侧导航栏中选择组件管理,单击新建。
4. 在组件管理页面,当扩展组件首次选择为 “CFS 腾讯云文件存储” 时,单击页面下方的服务授权。如下图所示:
5. 在服务授权中,单击访问管理。
6. 在角色管理页面,单击同意授权并完成身份验证即可成功授权。
权限内容
文件存储相关
权限名称 | 权限说明 |
cfs:CreateCfsFileSystem | 创建文件系统 |
cfs:DescribeCfsFileSystems | 查询文件系统 |
cfs:DescribeMountTargets | 查询文件系统挂载点 |
cfs:DeleteCfsFileSystem | 删除文件系统 |
预设策略 QcloudCVMFinanceAccess
授权步骤
1. 登录访问管理控制台,选择左侧导航栏的 角色。
2. 在角色列表页面中,单击 TKE_QCSRole 进入该角色管理页面。如下图所示:
3. 选择 TKE_QCSRole 页面中的关联策略,并在弹出的风险提醒窗口中进行确认。
4. 在弹出的关联策略窗口中,找到
QcloudCVMFinanceAccess 策略并勾选。如下图所示:
5. 单击确定即可完成授权。
权限内容
权限名称 | 权限说明 |
finance:* | 云服务器财务权限 |
IPAMDofTKE_QCSRole 角色
IPAMDofTKE_QCSRole 角色为容器服务的 IPAMD 支持服务角色。被授予该角色的权限后,在本文描述的授权场景下需进行预设策略关联操作。完成操作后,以下策略会出现在该角色的已授权策略列表中:QcloudAccessForIPAMDofTKERole:容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限。预设策略 QcloudAccessForIPAMDofTKERole
授权场景
在首次使用 VPC-CNI 网络模式创建集群时,需要首先对容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限进行授权,以便能够正常使用 VPC-CNI 网络模式。
授权步骤
1. 登录 容器服务控制台,单击左侧导航栏中集群。
2. 在集群页面,单击集群列表上方的新建或使用模板新建。
3. 在创建集群页面的设置“集群信息”步骤,选择“容器网络插件”中的 VPC-CNI 时,单击服务授权。如下图所示:
4. 在弹出的服务授权窗口中,单击前往访问管理。
5. 在角色管理页面中,单击同意授权并完成身份验证即可成功授权。
权限内容
云服务器相关
权限名称 | 权限说明 |
cvm:DescribeInstances | 查看实例列表 |
标签相关
权限名称 | 权限说明 |
tag:GetResourcesByTags | 通过标签查询资源列表 |
tag:ModifyResourceTags | 批量修改资源关联的标签 |
tag:GetResourceTagsByResourceIds | 查看资源关联的标签 |
私有网络相关
权限名称 | 权限说明 |
vpc:DescribeSubnet | 查询子网列表 |
vpc:CreateNetworkInterface | 创建弹性网卡 |
vpc:DescribeNetworkInterfaces | 查询弹性网卡列表 |
vpc:AttachNetworkInterface | 弹性网卡绑定云服务器 |
vpc:DetachNetworkInterface | 弹性网卡解绑云服务器 |
vpc:DeleteNetworkInterface | 删除弹性网卡 |
vpc:AssignPrivateIpAddresses | 弹性网卡申请内网 IP |
vpc:UnassignPrivateIpAddresses | 弹性网卡退还内网 IP |
vpc:MigratePrivateIpAddress | 弹性网卡内网 IP 迁移 |
vpc:DescribeSubnetEx | 查询子网列表 |
vpc:DescribeVpcEx | 查询对等连接 |
vpc:DescribeNetworkInterfaceLimit | 查询弹性网卡配额 |
vpc:DescribeVpcPrivateIpAddresses | 查询 VPC 内网 IP 信息 |
是
否
本页内容是否解决了您的问题?