在使用 Prometheus 监控服务过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。在使用该服务的过程中主要涉及 CM_QCSRole 服务角色。本文接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。
CM_QCSRole 角色默认关联的预设策略包含如下:
QcloudAccessForCMRoleInPromHostingService:Prometheus 监控服务所需要的容器服务 TKE 权限。
场景
当您成功创建 Prometheus 服务实例之后,需要监控腾讯云容器服务(TKE)上运行的服务,为了可以更方便的集成容器服务,需要访问腾讯云容器服务(TKE)相关的 API 服务,需要您的授权委托,才能正常访问腾讯云容器服务(TKE)来安装基本的监控组件及获取对应监控组件的运行状态。
此角色无需主动寻找配置,在未授权的情况下,在您成功创建 Prometheus 服务实例后,进入到对应实例管理下的 “集成容器服务” 时会自动弹出授权界面。
授权步骤
主账号授权步骤
1. 当您成功创建 Prometheus 实例 后,在访问“集成容器服务”时将出现授权提示框,需要授权云监控相关权限,如下所示。
2. 在子窗口中单击前往授权。
3. 在访问管理—角色管理页单击同意授权,提示授权成功即可。
说明:
此次授权只会出现一次,如果您已授权,则不再出现该授权提示框。
子账号授权步骤
主账号完成上述授权操作,成功创建了 CM_QCSRole 角色后,子账号无权限访问 CM_QCSRole 角色,需子账号对主账号授予 PassRole 权限,子账号才能在 Prometheus 监控服务中正常访问容器服务 TKE,否则访问容器服务列表时会提示失败。
在授予子账号 PassRole 权限时,请确保您的子账号有以下权限:
|
需授予子账号访问 CAM 权限,主账号授予子账号的 PassRole 权限才会生效 | QcloudCamReadOnlyAccess 或 QcloudCamFullAcces |
云监控策略依赖于云产品策略,因此授予子账号 PassRole 权限前,需确保子账号可在 TKE 下正常访问 TKE 资源 | |
为确保上述权限授予成功,请参考以下步骤授予子账号 cam:PassRole 权限。
1. 使用主账号或具有管理权限的子账号创建如下自定义策略,策略语法如下:
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:roleName/CM_QCSRole"
}
]
}
2. 新建完后,参考 访问管理-授权管理 在自定义策略下关联子账号即可。
授予子账号 cam:PassRole 权限之后,再次访问对应 Prometheus 实例管理下的“集成容器服务”页面,将出现授权提示框。