为了提供更完善的鉴权功能,容器服务 TKE 计划于2024年10月16日新增部分接口接入腾讯云 CAM 鉴权。如果您的子账号仍需访问对应接口,请参考以下指南 通过策略生成器创建自定义策略,否则您的子账号将无法访问对应接口。感谢您对腾讯云的信赖与支持,若在使用云产品过程中有任何问题,请通过 在线咨询 与我们联系。
常见授权途径
途径1: 新建自定义策略
实现方式
通过最小化权限原则为不同的子账户创建策略并绑定到子用户。
适用场景
权限管控比较严格,需要将每个子用户的操作范围按需精细化。
操作步骤
1. 在访问管理控制台的 策略 页面,单击左上角的新建自定义策略。
2. 在弹出的选择创建方式窗口中,单击按策略语法创建,进入选择策略模板页面。
3. 选择策略模板页面,可输入关键字进行搜索。例如:模板类型为全部模板,关键字为 a,选择 AdministratorAccess 模板。
4. 单击下一步,进入编辑策略页面。
5. 在编辑策略页面,确认策略名称、策略内容后单击完成,完成按策略语法创建自定义策略操作。其中默认的策略名称和策略内容由控制台自动生成,策略名称默认为 policygen,后缀数字根据创建日期生成。
6. 在访问管理控制台的 策略 页面,找到已创建出来的策略,单击操作列的关联用户/组/角色。
7. 在弹出的“关联用户/用户组/角色”窗口,勾选要关联的用户/用户组/角色,单击确定,完成通过策略关联用户操作。
途径2:绑定预设策略
实现方式
将含有 TKE 所有接口操作权限的 QcloudTKEInnerFullAccess 预设策略绑定到子账户。
适用场景
业务人员基本具备所有功能模块的操作权限。
操作步骤
1. 在访问管理控制台的 策略 页面,选择策略类型“容器服务”,找到 “QcloudTKEInnerFullAccess”,单击操作列的关联用户/组/角色。
2. 在关联用户/用户组/角色中,勾选要关联的用户/用户组/角色,单击确定,完成通过策略关联用户操作。
新增鉴权的接口列表
接口名称 | 接口描述 |
DescribeInstancesVersion | worker 节点的版本统计 |
ModifyClusterNodePool | 编辑节点池 |
DescribeInstanceTypesForDirectENI | 查看独立网卡模式可用的机型 |
DescribeClusterStatus | 查看集群状态列表 |
DescribeClusterVirtualNodePools | 查看虚拟节点池列表 |
DescribeClusterVirtualNode | 查看虚拟节点列表 |
GetPodSecurityGroups | 查询 Pod 安全组 |
GetPodById | 查询 Pod 信息 |
DescribeNodePools | 查询 TKE 节点池列表 |
DescribeSuperNodes | 查询超级节点列表 |
DescribeRegions | 查询地域列表 |
DescribeMachineConfiguration | 查询机器配置信息 |
DescribeVpcCniPodLimits | 查询机型可支持的最大 VPC-CNI 模式 Pod 数量 |
DescribeClusterSecurityGroup | 查询集群安全组信息 |
DescribeClusterSchedulerPolicy | 查询集群调度策略 |
DescribeFlowIdStatus | 查询集群开启端口流程状态 |
DescribeClusterAvailableExtraArgs | 查询集群可用的自定义参数 |
DescribeEksAlarmSetting | 查询集群列表的监控告警是否设置 |
DescribeClusterRoutes | 查询集群路由 |
DescribeClusterRouteTables | 查询集群路由表 |
GetPods | 查询集群内所有 pod 信息 |
DescribeClusterResourceLabels | 查询集群资源标签列表 |
DescribeClusterExtraArgs | 查询集群自定义参数 |
DescribeClusterCIDRs | 查询集群 VPC 下使用的 CIDR |
DescribeHealthCheckTemplate | 查询健康检测策略模板 |
DescribeClusterNodePools | 查询节点池列表 |
DescribeClusterNodePoolDetail | 查询节点池详情 |
DescribeImageRegistryCredentials | 查询镜像仓库凭证 |
DescribeImageCaches | 查询镜像缓存信息 |
DescribeOldStaticIPSubnets | 查询旧版固定 IP 集群独占的子网列表 |
DescribeEnableVpcCniProgress | 查询开启 vpc-cni 异步任务的进度 |
DescribeAvailableInstanceConfigInfo | 查询可用的机型信息 |
GetZoneResource | 查询可用区资源 |
DescribeMetaFeatureProgress | 查询跨租户特性启用进度 |
DescribeRouteTableConflicts | 查询路由表冲突列表 |
DescribeBatchModifyTagsStatus | 查询批量修改标签状态 |
GetMostSuitableImageCache | 查询匹配的镜像缓存 |
DescribeLogSwitches | 查询日志开关 |
DescribeEKSContainerInstanceEvent | 查询容器实例的事件 |
DescribeEksContainerInstanceLog | 查询容器实例日志 |
DescribeContainerLog | 查询容器组中容器日志 |
DescribeExistedInstances | 查询已经存在的节点是否可以加入集群 |
DescribeProductVersions | 查询应用制品版本列表 |
DescribeProductVersionDetails | 查询应用制品版本详情 |
DescribeProducts | 查询应用制品列表 |
DescribeRIPodDetail | 查询预留券和 Pod 数量 |
DescribeZoneInstanceConfigInfos | 查询原生节点机型配置 |
DescribeClusterMachines | 查询原生节点列表 |
DescribeCcnRoutes | 查询云联网路由 |
DescribeCcnInstances | 查询云联网实例 |
DescribeZoneDiskQuota | 查询云硬盘在各可用区的配额 |
GetAccountType | 查询账号类型 |
GetPodSpecQuota | 查询指定规格的 Pod 配额 |
DescribeClusterControllers | 查询 Kubernetes 控制器状态 |
DescribeMasterLog | 查询 master 日志开关信息 |
GetPodChargeInfo | 查询 Pod 的计费信息 |
CheckPodRetain | 查询 Pod 是否保留 |
GetPod | 查询 pod 信息 |
RunClusterInspections | 触发集群巡检 |
CreateUpdateNodeUnit | 创建更新 NodeUnit |
CreateCluster | 创建集群 |
CreateClusterRoute | 创建集群路由 |
CreateClusterRouteTable | 创建集群路由表 |
CreateClusterAsGroup | 创建集群伸缩组 |
CreateClusterNodePool | 创建节点池 |
CreateImageRegistryCredential | 创建镜像仓库凭证 |
CreateImageCache | 创建镜像缓存 |
CreateCLSLogConfig | 创建日志采集规则 |
CreateClusterVirtualNode | 创建虚拟节点 |
CreateClusterVirtualNodePool | 创建虚拟节点池 |
SwitchParameterCreateNativeNode | 创建原生节点池参数转换 |
CreatePod | 创建 Pod |
UninstallLogAgent | 从 TKE 集群中卸载 CLS 日志采集组件 |
AddClusterCIDR | 给集群增加 ClusterCIDR |
ModifyClusterInspection | 更新集群巡检配置 |
UpdateImageRegistryCredential | 更新镜像仓库凭证 |
UpdateImageCache | 更新镜像缓存 |
DisableVpcCniNetworkType | 关闭附加的 VPC-CNI 网络能力 |
DisableMasterLog | 关闭 master 日志采集 |
StopEks | 关机 |
DescribeClusterInspectionOverviews | 获得集群健康检查列表 |
DescribeClusterInspectionReport | 获得集群巡检报告页详情 |
GetUpgradeInstanceProgress | 获得节点升级当前的进度 |
GetPodSpecification | 获取 Pod 规格 |
DescribeClusterCreateProgress | 获取集群创建进度 |
DescribeClusterMetricsData | 获取集群的监控数据 |
DescribeClusterResourceDetails | 获取集群对应资源的详细信息 |
DescribeClusterEndpoints | 获取集群访问地址 |
DescribeClusterLevelAttribute | 获取集群规模 |
DescribeClusterStaticInstaller | 获取集群节点静态安装脚本 |
DescribeClusterInstanceIds | 获取集群节点 ID 列表 |
GetQuota | 获取集群可创建的 pod 配额 |
DescribeAvailableClusterVersion | 获取集群可以升级的所有版本 |
DescribeClustersResourceStatus | 获取集群里资源状态 |
DescribeClusterNamespaces | 获取集群命名空间列表 |
ListExpiredClusterAuth | 获取集群内过期的权限信息 |
DescribeQuota | 获取集群配额 |
DescribeClusterPods | 获取集群容器列表 |
DescribeClusterMasterDiff | 获取集群升级前后控制面组件的区别 |
DescribeClusterAuthorizationMode | 获取集群授权模式 |
GetTkeAppUpgradeInfo | 获取集群下组件升级信息 |
ListClusterCertificates | 获取集群证书列表 |
DescribeClusterCommonNames | 获取集群子账户 CommonName 映射关系 |
DescribeClusterServices | 获取集群 Service 列表 |
DescribeInstanceCreateProgress | 获取节点创建进度 |
DescribeSpotPodDetail | 获取竞价 Pod 详情 |
DescribeImages | 获取镜像信息 |
DescribeOSImageId | 获取镜像 id |
DescribeEdgeRegion | 获取区域列表 |
DescribeClusterGlobalStatistics | 获取所有地域集群数量统计 |
DescribeNodeParamUpdateProcess | 获取原生节点滚动更新参数 |
GetSubnetVip | 获取子网内预留 VIP |
GetSubnetResource | 获取子网资源 |
DescribeECMInstances | 获取 ECM 实例相关信息 |
DescribeIPAMD | 获取 eniipamd 组件信息 |
DescribeGPUInfo | 获取 GPU 信息 |
DescribeNodeGroup | 获取 NodeGroup 信息 |
DescribeNodeUnit | 获取 NodeUnit 信息 |
DescribeOSImages | 获取 OS 聚合信息 |
ListEKSPods | 获取 pod 详细信息 |
DescribeClusterKubeconfig | 获取 tke 集群 kubeconfig 信息 |
GetTkeAppChartList | 获取 TKE 支持的 App 列表 |
GetTkeAppDiff | 获取 TKEApp 的 Diff 信息 |
DescribeTKEEdgeAppChartList | 获取 TKEEdge 支持的 App 列表 |
DescribeSupportedRuntime | 基于 K8S 版本获取可选运行时版本 |
DescribeVersions | 集群版本信息 |
CreateClusterRelease | 集群创建应用 |
DescribeClusterHealthyStatus | 集群健康状态描述 |
UpgradeClusterInstances | 集群节点升级 |
DescribeUpgradeClusterProgress | 集群升级进度 |
ModifyClusterUpgradingState | 集群升级任务控制 |
DescribeClusterAuthStatus | 集群是否自动清理过期子账户 |
DescribeClusterInspections | 集群巡检概览 |
CheckClusterRuntimeConfig | 集群运行时检查 |
EnableMetaFeature | 集群 meta 特性启用 |
CheckClusterCIDR | 检查集群的 CIDR 是否冲突 |
CheckClusterHostName | 检查集群节点主机名称 |
CheckClusterImage | 检查镜像是否支持设置为集群镜像 |
CheckUseTKE | 检查是否是 TKE 新用户 |
CheckMigrateVm | 检查子机路由 |
AddNodeToNodePool | 将集群内节点移入节点池 |
SetNodePoolNodeProtection | 节点池节点设置移出保护 |
OpUpgradeClusterInstances | 节点升级任务状态控制 |
CheckInstancesUpgradeAble | 节点是否可升级 |
UpdateClusterAuthStatus | 开启或关闭集群自动清理过期子账户 |
EnableMasterLog | 开启 master 日志采集 |
EnableVpcCniNetworkType | 开启 vpc-cni 容器网络能力 |
RotateClusterToken | 轮转集群静态 token |
DescribeClusterRuntimeVersion | 描述集群运行时版本信息 |
DrainClusterVirtualNode | 驱逐虚拟节点 |
DeleteClusterInstances | 删除集群节点 |
DeleteClusterRoute | 删除集群路由 |
DeleteClusterRouteTable | 删除集群路由表 |
DeleteEKSNode | 删除节点 |
DeleteClusterNodePool | 删除节点池 |
DeleteImageRegistryCredentials | 删除镜像仓库凭证 |
DeleteImageCaches | 删除镜像缓存 |
DeleteClusterVirtualNode | 删除虚拟节点 |
DeleteClusterVirtualNodePool | 删除虚拟节点池 |
DeleteRetainPod | 删除预留 Pod |
DeleteNodeUnit | 删除 NodeUnit |
DeletePod | 删除 pod |
UpdateClusterVersion | 升级集群 |
UpgradeLogAgent | 升级日志组件 |
UpgradeClusterRelease | 升级应用 |
GrantCodingClusterRoleBinding | 授权 Coding 服务角色权限 |
InquirePriceRefundNativeNode | 退费原生节点询价 |
ValidateClusterAddVirtualNodeConditions | 校验集群添加虚拟节点条件 |
CheckComponentVersion | 校验集群组件版本 |
CheckSubaccountAuthority | 校验子账户权限 |
ModifyPodSecurityGroups | 修改 Pod 安全组 |
ModifySuperNodeTag | 修改超级节点的标签 |
ModifyExternalNodePool | 修改第三方节点池 |
ModifyClusterTags | 修改集群标签 |
ModifyClusterImage | 修改集群镜像 |
ModifyNodePoolInstanceTypes | 修改节点池的机型配置 |
ModifyNodePoolDesiredCapacityAboutAsg | 修改节点池关联伸缩组的期望实例数 |
ModifyClusterVirtualNodePool | 修改虚拟节点池 |
ModifyReservedInstanceName | 修改预留券名称 |
SwitchParameterRenewNativeNode | 续费原生节点池参数转换 |
InquirePriceRenewNativeNode | 续费原生节点询价 |
ClearExpiredClusterAuth | 一键清除集群内过期的权限信息 |
RemoveNodeFromNodePool | 移出节点池节点 |
InstallLogAgent | 在 TKE 集群中安装 CLS 日志采集组件 |
AddVpcCniSubnets | 增加集群子网 |
DescribeAggregationData | 展示聚合后的数据 |
ListHousekeeperRegion | Housekeeper 地域列表 |
InquirePriceHousekeeper | Housekeeper 询价 |
GetPrice | TKE Serverless 询价接口 |
DisableEksEventPersistence | TKE Serverless 集群关闭事件持久化功能 |
EnableEksEventPersistence | TKE Serverless 集群开启事件持久化功能 |
EnableMetaFeatureForEks | TKE Serverless 集群开通跨租户弹性网卡 |
UpdateMetaFeatureForEks | TKE Serverless 集群更新跨租户弹性网卡配置 |
UpdateMetaFeature | TKE 集群更新跨租户弹性网卡全局配置 |
AttachEKSDisks | 绑定 TKE Serverless 云盘 |
DescribeEKSDisks | 查询 TKE Serverless 云硬盘列表 |
QueryEKSDiskTask | 查询 TKE Serverless 云硬盘任务 |
GetEksClusterUsed | 查询弹性集群配额和已创建集群数 |
DescribeEKSClusterStatus | 查询弹性容器集群状态 |
DescribeEKSInstances | 查询弹性容器实例 |
ListEKSZone | 查询对应地域 TKE Serverless 可用的可用区 |
DescribeEksMetaFeatureProgress | 查询 TKE Serverless 集群开通跨租户弹性网卡开通状态 |
DescribeEksLogSwitches | 查询 TKE Serverless 集群日志开关信息 |
GetEKSClusterResources | 查询 TKE Serverless 集群资源 |
ListEKSRegion | 查询 TKE Serverless 可用地域 |
CreateEKSDisk | 创建 TKE Serverless CBS 盘 |
CreateEKSInstances | 创建弹性容器实例 |
CreateEksLogConfig | 创建 TKE Serverless 集群日志采集规则 |
UpdateEKSClusterKubeconfig | 更新 TKE Serverless 集群的 kubeconfig 信息 |
DisableEksAudit | 关闭弹性集群审计 |
DescribeEKSClusterCredential | 获取 TKE Serverless 集群认证信息 |
DescribeEKSClusterAuthorizationMode | 获取 TKE Serverless 集群授权模式 |
GetEKSAppUpgradeInfo | 获取 TKE Serverless 集群下组件升级信息 |
ListEKSClusterCertificates | 获取 TKE Serverless 集群证书列表 |
DescribeEKSClusterCommonNames | 获取 TKE Serverless 集群子账户 CommonName 映射关系 |
GetEksSpecs | 获取 TKE Serverless 支持的所有规格 |
ListEKSK8SVersion | 获取 TKE Serverless 支持的 k8s 版本 |
GetEksAppDiff | 获取 TKE ServerlessApp 的 Diff 信息 |
ActivateEKSCluster | 激活弹性集群 |
CheckEksClusterCIDR | 检查弹性集群的 CIDR 是否冲突 |
CheckUseEks | 检查用户是否使用弹性容器服务 |
DetachEKSDisks | 解绑 TKE Serverless 云盘 |
EnableEksAudit | 开启弹性集群审计 |
DrainEksNode | 驱逐弹性集群的节点 |
DeleteEKSDisk | 删除 TKE Serverless 云硬盘 |
DeleteEKSCluster | 删除弹性集群 |
DeleteEKSInstances | 删除弹性容器实例 |
DeletePodsById | 删除 TKE Serverless pod |
UpgradeEKSClusterAuthorizationMode | 升级 TKE Serverless 集群授权模式为 RBAC |
NotifyResult | 通知 TKE Serverless 操作结果 |
UninstallEksLogAgent | 卸载弹性集群的日志采集组件 |
UpdateEKSCluster | 修改弹性集群 TKE Serverless |
InstallEksLogAgent | 在弹性集群中安装 CLS 日志采集组件 |
