Prometheus 自定义策略
策略授权
已设置好的策略可以通过关联用户组或者子用户来授予权限。
自定义策略可授权资源类型
资源级权限指的是能够指定用户对哪些资源具有执行操作的能力。可以针对支持资源级权限的 Prometheus 服务操作,您可以控制何时允许用户执行操作或是允许用户使用特定资源。访问管理 CAM 中可授权的资源类型如下:
资源类型 | 授权策略中的资源描述方法 |
Prometheus 监控服务 | qcs::monitor:$region:$account:prom-instance/*qcs::monitor:$region:$account:prom-instance/$instanceId |
下表将介绍当前支持资源级权限的 Prometheus 监控服务 API 操作,设置策略时,action 填入 API 操作名称就可以对单独 API 进行控制,设置 action 也可以使用
*作为通配符。支持资源级授权的 API 列表
API 操作 | API 描述 |
DescribePrometheusInstances | 列出用户所有的 Prometheus 服务实例 |
TerminatePrometheusInstances | 销毁 Prometheus 服务实例 |
RecreatePrometheusInstance | 重新安装 Prometheus 服务实例 |
ModifyPrometheusInstanceAttributes | 修改 Prometheus 实例相关属性 |
ChangeGrafanaAdminPassword | 修改 Grafana Admin 密码 |
UpgradeGrafanaDashboard | 升级 Grafana Dashboard |
DescribePrometheusKubeClusters | 列出 Prometheus 可集成的 Kubernetes 集群列表 |
InstallPrometheusAgent | 安装 Prometheus Agent |
UninstallPrometheusAgent | 卸载 Prometheus Agent |
DescribeServiceDiscovery | 列出 Prometheus 服务发现列表 |
CreateServiceDiscovery | 创建 Prometheus 服务发现 |
UpdateServiceDiscovery | 更新 Prometheus 服务发现 |
DeleteServiceDiscovery | 删除 Prometheus 服务发现 |
DescribePrometheusKubeBasicMonitor | 查询基础监控状态 |
EnablePrometheusKubeBasicMonitor | 开启基础监控 |
DisablePrometheusKubeBasicMonitor | 关闭基础监控 |
DescribePrometheusAgentRuntime | 获取 Prometheus Agent 运行时状态 |
DescribePrometheusJobTargets | 列出 Prometheus 指标抓取任务的状态信息 |
DescribeRecordingRules | 查询预聚合规则 |
CreateRecordingRule | 创建预聚合规则 |
UpdateRecordingRule | 更新预聚合规则 |
DeleteRecordingRules | 删除预聚合规则 |
DescribeAlertRules | 报警规则查询 |
DeleteAlertRules | 删除报警规则 |
UpdateAlertRuleState | 更新报警策略状态 |
CreateAlertRule | 创建告警规则 |
UpdateAlertRule | 更新报警规则 |
CreateAlarmNotice | 创建通知模板 |
DeleteAlarmNotices | 删除告警通知模板(批量) |
ModifyAlarmNotice | 修改通知模板 |
DescribeAlarmNotices | 查询通知模板列表 |
DescribeAlarmNotice | 查询单个通知模板的详情 |
DescribeAlarmNoticeCallbacks | 查询账号下所有回调URL列表 |
不支持资源级授权的 API 列表
针对不支持资源级权限的 Prometheus 监控服务 API 操作,您仍可以向用户授予使用该操作的权限,但策略语句的资源(resource)元素必须指定为
*。API 操作 | API 描述 |
CreatePrometheusInstance | 创建 Prometheus 服务实例 |
