在使用 Prometheus 监控服务过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。在使用该服务的过程中主要涉及TKE_QCSLinkedRoleInPrometheusService、TKE_QCSRole 和 CM_QCSLinkedRoleInTMP 三个服务角色。
TKE_QCSLinkedRoleInPrometheusService 角色是用于授权 Prometheus 访问容器服务,默认关联的预设策略如下:
QcloudAccessForTKELinkedRoleInPrometheusService:该策略仅用于腾讯云容器服务(TKE)访问其他云服务资源。包含对象存储(COS)相关操作权限。
TKE_QCSRole 角色是用于授权容器服务,默认关联的预设策略如下:
QcloudAccessForTKERole:该策略用于腾讯云容器服务(TKE)访问云资源。
QcloudAccessForTKERoleInOpsManagement:该策略用于腾讯云容器服务(TKE)访问其他云服务资源。包含日志服务(CLS)相关操作权限。
CM_QCSLinkedRoleInTMP 角色是用于授权 Prometheus 获取云资源信息,默认关联的预设策略如下:
QcloudAccessForCMLinkedRoleInTMP:该策略用于 monitor 访问其他云服务资源。
操作场景
为了采集腾讯云容器服务(TKE)或集成中心其他组件监控的数据,Prometheus 服务实例需要访问相关 API 服务,需要您的授权委托,才能正常访问。
此角色无需主动寻找配置,在未授权的情况下,使用相关功能时会自动弹出授权界面。
授权步骤
主账号授权
进入 Prometheus 实例购买页,填写完基本信息单击立即购买后将会出现授权提示框,进行 TKE_QCSLinkedRoleInPrometheusService 和 TKE_QCSRole 两个角色的授权,如下所示。单击同意授权即可授权成功。
若您需要使用集成中心的云监控、CVM Node Exporter、CVM 进程监控、CVM 云服务器、EMR、Cdwch 的一键安装功能,则需进行 CM_QCSLinkedRoleInTMP 角色的授权,如下图所示:
单击提示框的点击授权,即会弹出如下窗口,单击同意授权后即可授权成功。
说明:
此次授权只会出现一次,如果您已授权,则不再出现该授权提示框。
子账号授权
主账号完成上述授权操作,成功创建了角色后,子账号无权限访问角色,需主账号对子账号授予 PassRole 权限,子账号才能正常使用,否则会提示失败。
在授予子账号 PassRole 权限时,请确保您的子账号有以下权限:
权限说明 | 授予策略 |
需授予子账号访问 CAM 权限,主账号授予子账号的 PassRole 权限才会生效 | QcloudCamReadOnlyAccess 或 QcloudCamFullAccess |
云监控策略依赖于云产品策略,因此授予子账号 PassRole 权限前,需确保子账号可在 TKE 下正常访问 TKE 资源 |
为确保上述权限授予成功,请参考以下步骤授予子账号 cam:PassRole 权限。
1. 使用主账号或具有管理权限的子账号在 访问管理 > 策略 > 新建自定义策略里边按策略语法创建,语法示例如下:
{"version": "2.0","statement": [{"effect": "allow","action": "cam:PassRole","resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TKE_QCSLinkedRoleInPrometheusService"},{"effect": "allow","action": "cam:PassRole","resource": "qcs::cam::uin/${OwnerUin}:roleName/TKE_QCSRole"}]}
为控制权限,示例语法限制了 cam:PassRole 仅对 TKE_QCSLinkedRoleInPrometheusService 和 TKE_QCSRole 服务角色生效,您可根据需要增减生效的角色。
2. 新建完后,参见 授权管理 在自定义策略下关联子账号即可。
