由于CCE在運行中對計算、存儲、網絡以及監控等各類云服務資源都存在依賴關系，因此當您首次登錄CCE控制臺時，CCE將自動請求獲取當前區域下的云資源權限，從而更好地為您提供服務。服務權限包括：

• 計算類服務

CCE集群創建節點時會關聯創建云主機，因此需要獲取訪問彈性云主機、物理機的權限。

• 存儲類服務

CCE支持為集群下節點和容器掛載存儲，因此需要獲取訪問云硬盤、彈性文件、對象存儲等服務的權限。

• 網絡類服務

CCE支持集群下容器發布為對外訪問的服務，因此需要獲取訪問虛擬私有云、彈性負載均衡等服務的權限。

• 容器與監控類服務

CCE集群下容器支持鏡像拉取、監控和日志分析等功能，需要獲取訪問容器鏡像等服務的權限。

當您同意授權后，CCE將在IAM中自動創建賬號委托，將帳號內的其他資源操作權限委托給CCE服務進行操作。

CCE自動創建的委托如下：

• cce_admin_trust
• cce_cluster_agency

cce_admin_trust委托說明

cce_admin_trust委托具有Tenant Administrator權限。Tenant Administrator擁有除IAM管理外的全部云服務管理員權限，用于對CCE所依賴的其他云服務資源進行調用，且該授權僅在當前區域生效。

如果您在多個區域中使用CCE服務，則需在每個區域中分別申請云資源權限。您可前往“IAM控制臺 > 委托”頁簽，單擊“cce_admin_trust”查看各區域的授權記錄。

                  

                    
說明
                    
由于CCE對其他云服務有許多依賴，如果沒有Tenant Administrator權限，可能會因為某個服務權限不足而影響CCE功能的正常使用。因此在使用CCE服務期間，請不要自行刪除或者修改“cce_admin_trust”委托。
                    
                  
                  

cce_cluster_agency委托說明

cce_cluster_agency委托沒有Tenant Administrator系統角色，只包含CCE組件需要的云服務資源操作權限，用于生成CCE集群中組件使用的臨時訪問憑證。

                  

                    
說明
                    
cce_cluster_agency委托僅支持1.21及以上版本新建的集群。
創建cce_cluster_agency委托時將會自動創建名為“CCE cluster policies”的自定義策略，請勿刪除該策略。
                    
                  
                  

若當前cce_cluster_agency委托的權限與CCE期望的權限不同時，控制臺會提示權限變化，需要您重新授權。

以下場景中，可能會出現cce_cluster_agency委托重新授權：

• CCE組件依賴的權限可能會隨版本變動而發生變化。例如新增組件需要依賴新的權限，CCE將會更新期望的權限列表，此時需要您重新為cce_cluster_agency委托授權。
• 當您手動修改了cce_cluster_agency委托的權限時，該委托中擁有的權限與CCE期望的權限不相同，此時也會出現重新授權的提示。若您重新進行授權，該委托中手動修改的權限可能會失效。