CCE One 集群權限是基于IAM系統策略和自定義策略的授權，可以通過用戶組功能實現IAM用戶的授權。

配置說明

服務資源權限配置，比如創建用戶組和具體權限配置，均需要跳轉到IAM控制臺進行具體操作。設置完后在集群權限頁面能看到用戶組所擁有的權限。

示例流程

圖1：給用戶授予分布式容器云平臺權限流程

1. 創建用戶組并授權。

在IAM控制臺創建用戶組，并授予分布式容器云平臺權限，例如ccseone-viewer。

2. 創建用戶并加入用戶組。

在IAM控制臺創建用戶，并將其加入1中創建的用戶組。

3. 用戶登錄并驗證權限。

用戶登錄控制臺，驗證權限：

• 單擊左側導航欄“艦隊聯邦 > 艦隊管理”，如果創建艦隊時提示無訪問權限，表示權限配置已生效。

• 單擊左側導航欄“集群資源 > 注冊集群”，如果訂購注冊集群時提示無訪問權限，表示權限配置已生效。

系統角色

角色是分布式容器云平臺最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。IAM中預置的分布式容器云平臺系統角色為 ccseone-admin。

• ccseone-admin：系統策略，分布式容器云平臺相關資源的所有權限

• ccseone-user：系統策略，分布式容器云平臺相關資源讀寫權限，不包括開通訂購注冊集群、集群聯邦等權限。 

• ccseone-viewer：系統策略，分布式容器云平臺相關資源只讀權限

資源權限與企業項目

分布式容器云平臺支持以注冊集群、集群聯邦為粒度，基于企業項目維度進行資源管理以及權限分配。

如下事項需特別注意：

• IAM項目是基于資源進行管理，而企業項目則是提供資源的全局邏輯分組，更符合企業實際場景，并且支持基于企業項目維度的IAM策略管理，因此推薦您使用企業項目。

• IAM項目與企業項目共存時，IAM將優先匹配IAM項目策略。

• 分布式容器云平臺集群基于已有基礎資源（VPC）創建集群、節點時，請確保IAM用戶在已有資源的企業項目下有相關權限，否則可能導致集群或者節點創建失敗。