概述

根據權限類型，分布式容器云平臺 CCE One的權限包括資源委托權限、IAM策略權限和實例RBAC權限。您需要為服務賬號授予對應的權限，才能正常使用分布式容器云平臺的功能。本文將為您介紹資源委托權限、IAM策略權限和實例RBAC權限關系，以及如何為服務賬號授予相應權限。

權限類型

資源委托

資源委托是云服務在特定情況下，因為運行邏輯/功能需要而獲取其他云服務訪問權限的IAM角色。例如，CCE One上創建三方注冊集群代理HUB或創建集群聯邦控制面實例時，需要創建彈性負載均衡ELB以及彈性IP，因此需要這倆產品的相關權限。

使用分布式容器云平臺服務需要授予訪問以下云資源的權限：

• 訪問計算類服務

注冊集群按需彈性云上資源時會關聯創建云服務器，需要獲取訪問彈性云服務器、彈性裸金屬服務器的權限

• 訪問存儲類服務

為注冊集群關聯云上節點和容器掛載存儲，需要獲取訪問云硬盤、彈性文件、對象存儲等服務的權限

• 訪問網絡類服務

為注冊集群及聯邦提供網絡代理及服務對外暴露，需要獲取訪問虛擬私有云、彈性負載均衡、彈性IP、NAT網關等服務的權限

• 訪問容器與監控類服務

為三方注冊集群下容器提供鏡像拉取、監控和日志分析等功能，需要獲取訪問容器鏡像、應用運維管理等服務的權限同意授權后，CCE One 將在統一身份認證服務為您創建名為 CtyunAssumeRoleForCCEONE 的 委托，為保證服務正常使用，在使用 CCE One 服務期間請不要刪除或修改 CtyunAssumeRoleForCCEONE 委托。

若您尚未對CCE One進行資源委托授權，在進入CCE One任一訂購頁時，將提示您進行必要的委托授權。

點擊【點擊此處授權】后，將彈出詳細授權說明。

再次點擊【確定授權】，后臺即開始自動創建分布式容器云平臺CCE One對應的委托創建。登錄IAM統一身份認證服務委托對應頁面，可以看到CCE One對應委托記錄如下，委托名“CtyunAssumeRoleForCCEONE”。

IAM策略

您可以基于IAM權限策略，授予子賬號部分接口或者特定實例的操作權限，例如允許特定子賬號訂購注冊集群、查詢注冊集群列表以及退訂注冊集群，但是限制不允許創建、操作艦隊和聯邦實例等。

IAM策略分為接口權限控制和實例權限控制兩部分，CCE One當前均已支持，并提供默認配置模板供選擇。