基本信息
| CAM中产品名 | CAM中简称 | 控制台访问 | 按标签授权 | 授权粒度 | IP限制 |
|---|---|---|---|---|---|
| 服务网格 | tcm | 支持 | 支持 | 资源级 | 部分支持 |
说明:云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
读操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| CheckClusterList | 检查用户所属集群的可用性 | 资源级 | qcs::tcm::uin/${uin}:- | 不支持 |
| DescribeAutoInjectionNamespaceList | 获取某网格在关联集群某一命名空间的注入状态 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeConfig | 查询网格的配置信息,这些配置信息包括Istio和Kubernetes可安装版本,可升级版本,地域信息等。 | 操作级 | * | 不支持 |
| DescribeEgressGateway | 查询egressgateway workload | 资源级 | qcs::${ApiModule}:${Region}:uin/:mesh/${MeshId} | 支持 |
| DescribeGatewayWorkloadList | 查询gateway workload 列表 | 资源级 | qcs::${ApiModule}:${Region}:uin/:mesh/${MeshId} | 支持 |
| DescribeIngressGateway | 查询ingressgateway workload | 资源级 | qcs::${ApiModule}:${Region}:uin/:mesh/${MeshId} | 支持 |
| DescribeIngressGatewayList | 查询 IngressGateway 列表 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| DescribeIstioResourceList | 查询属于某网格的Istio资源信息 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeMesh | 获取指定服务网格 | 资源级 | qcs:tcm:gz:uin/12345678:* | 支持 |
| DescribeMeshList | 查询网格列表 | 资源级 | qcs::tcm:${region}:uin/${uin}:- | 不支持 |
| DescribeMeshOperation | 获取与网格关联操作的详细信息 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeMeshStatistics | 查询集群统计信息 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeMetaClusterID | 获取对应网格的托管集群ID | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeNamespaceList | 获取某一网格管理的命名空间列表 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeNodeRegionList | 当前服务网格所包含节点的所有地域和可用区列表。 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeServiceDashboard | 获取 Service 指标 Dashboard | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeServiceList | 查询网格服务列表 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeServiceListDashboard | 获取 ServiceList 指标 Dashboard | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DescribeTopology | 获取监控拓扑图信息 | 资源级 | qcs::tcm:${region}:uin/${uin}:DescribeTopology | 不支持 |
| DescribeWorkloadDashboard | 获取 Workload 指标 Dashboard | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| ForwardRequestRead | 读istio的CRD资源 | 操作级 | * | 支持 |
| ListIstioIngresses | 获取指定集群内所有Istio管理的Ingress | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| ListMeshes | 获取所有服务网格 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
写操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| ConvertIstioIngress | 将Ingress转换为Gateway和VirtualService | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| CreateEgressGateway | 在网格中创建出口网关 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| CreateIngressGateway | 创建 IngressGateway | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| CreateIstioResource | 在网格中创建Istio资源 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| CreateMesh | 创建服务网格 | 资源级 | qcs:tcm:gz:uin/12345678:* | 支持 |
| CreateTrial | 创建服务网格一键体验环境 | 操作级 | * | 支持 |
| DeleteEgressGateway | 删除网格中出口网关 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DeleteIngressGateway | 删除 IngressGateway | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| DeleteIstioResource | 删除网格中的Istio资源 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| DeleteMesh | 删除服务网格 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| DeleteTrial | 删除服务网格一键体验环境 | 操作级 | * | 支持 |
| EnableAccessLogConfig | 开启AccessLog配置 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| ForwardRequestWrite | 写istio的CRD资源 | 操作级 | * | 支持 |
| LinkClusterList | 关联集群 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| LinkNamespaceList | 关联 Namespace | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| LinkPrometheus | 关联Prometheus | 资源级 | qcs::${ApiModule}:${Region}:uin/:mesh/${MeshId} | 支持 |
| ModifyAccessLogConfig | 修改访问日志配置 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| ModifyIngressGateway | 修改 IngressGateway | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| ModifyIstioResource | 修改网格中的Istio资源 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| ModifyMesh | 修改网格 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| ModifyMeshCanaryUpgradingPhase | 对当前网格的灰度升级进行确认或者回滚 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| ModifyTracingConfig | 修改 Tracing 配置 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| RelinkCluster | 重新关联集群 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| RetryTrialTask | 重试创建服务网格一键体验环境 | 操作级 | * | 支持 |
| UnlinkCluster | 解关联集群 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |
| UnlinkNamespaceList | 解关联 Namespace | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 不支持 |
| UnlinkPrometheus | 解除关联Prometheus | 资源级 | qcs::${ApiModule}:${Region}:uin/:mesh/${MeshId} | 支持 |
| UpgradeGateway | 升级边缘网关 | 资源级 | qcs::${ApiModule}:${Region}:uin/:mesh/${MeshId} | 支持 |
| UpgradeMesh | 升级服务网格 | 资源级 | qcs::tcm:${region}:uin/${uin}:mesh/${MeshId} | 支持 |