華為云UCS在統(tǒng)一身份認(rèn)證服務(wù)（IAM）能力基礎(chǔ)上，為用戶提供細(xì)粒度的權(quán)限管理功能，幫助用戶靈活便捷地對(duì)租戶下的IAM用戶設(shè)置不同的UCS資源權(quán)限，結(jié)合權(quán)限策略和艦隊(duì)設(shè)計(jì)，可實(shí)現(xiàn)企業(yè)不同部門或項(xiàng)目之間的權(quán)限隔離。

UCS權(quán)限管理是在IAM與Kubernetes的角色訪問控制（RBAC）的能力基礎(chǔ)上，打造的細(xì)粒度權(quán)限管理功能。支持UCS服務(wù)資源權(quán)限、集群中Kubernetes資源權(quán)限兩種維度的權(quán)限控制，這兩種權(quán)限針對(duì)的是不同類型的資源，在授權(quán)機(jī)制上也存在一些差異，具體如下：

UCS服務(wù)資源權(quán)限：是基于IAM系統(tǒng)策略的授權(quán)。UCS服務(wù)資源包括容器艦隊(duì)、集群、聯(lián)邦實(shí)例等等，管理員可以針對(duì)用戶的角色（如開發(fā)、運(yùn)維）進(jìn)行差異化授權(quán)，精細(xì)控制他們對(duì)UCS資源的使用范圍。

集群中Kubernetes資源權(quán)限：是基于Kubernetes RBAC能力的授權(quán)，可授予針對(duì)集群內(nèi)Kubernetes資源對(duì)象的細(xì)化權(quán)限，通過權(quán)限設(shè)置可以讓不同的用戶有操作不同Kubernetes資源對(duì)象（如工作負(fù)載、任務(wù)、服務(wù)等Kubernetes原生資源）的權(quán)限。

新建IAM用戶的權(quán)限管理流程如下圖所示：

假設(shè)A公司在華為云使用UCS服務(wù)管理多集群，公司中有多個(gè)職能團(tuán)隊(duì)，分別負(fù)責(zé)權(quán)限分配、資源管理、創(chuàng)建應(yīng)用、流量分發(fā)、監(jiān)控運(yùn)維等。結(jié)合使用IAM和UCS的權(quán)限管理，可以實(shí)現(xiàn)精細(xì)化授權(quán)的目標(biāo)。

1. 行管團(tuán)隊(duì)：負(fù)責(zé)管理公司所有資源的團(tuán)隊(duì)。
2. 開發(fā)團(tuán)隊(duì)：負(fù)責(zé)業(yè)務(wù)開發(fā)的團(tuán)隊(duì)。
3. 運(yùn)維團(tuán)隊(duì)：負(fù)責(zé)查看并監(jiān)控所有資源使用情況的團(tuán)隊(duì)。
4. 訪客：預(yù)留的只讀權(quán)限團(tuán)隊(duì)，指那些僅具有查看資源權(quán)限的人員。

公司不同的職能團(tuán)隊(duì)針對(duì)UCS資源的操作范圍如下所示：

1：由Tenant Administrator角色的管理員為各個(gè)職能團(tuán)隊(duì)授權(quán)。

2、3、4、5、6、7、8：擁有UCS FullAccess權(quán)限的行管團(tuán)隊(duì)負(fù)責(zé)創(chuàng)建艦隊(duì)、注冊(cè)集群、將集群加入艦隊(duì)，以及開通集群聯(lián)邦能力，搭建多集群聯(lián)邦基礎(chǔ)設(shè)施。同時(shí)，行管團(tuán)隊(duì)創(chuàng)建權(quán)限，并將權(quán)限關(guān)聯(lián)至艦隊(duì)或未加入艦隊(duì)的集群，使開發(fā)團(tuán)隊(duì)對(duì)具體的Kubernetes資源擁有相應(yīng)的操作權(quán)限。

9、10：擁有UCS CommonOperations權(quán)限的開發(fā)團(tuán)隊(duì)執(zhí)行創(chuàng)建工作負(fù)載、流量分發(fā)等操作。

11：擁有UCS CIAOperations權(quán)限的運(yùn)維團(tuán)隊(duì)執(zhí)行監(jiān)控運(yùn)維等操作。

12：擁有UCS ReadOnlyAccess權(quán)限的訪客進(jìn)行集群、艦隊(duì)、工作負(fù)載等資源的查看操作。