華為云UCS在統(tǒng)一身份認證服務(wù)（IAM）能力基礎(chǔ)上，為用戶提供細粒度的權(quán)限管理功能，幫助用戶靈活便捷地對租戶下的IAM用戶設(shè)置不同的UCS資源權(quán)限，結(jié)合權(quán)限策略和艦隊設(shè)計，可實現(xiàn)企業(yè)不同部門或項目之間的權(quán)限隔離。

UCS權(quán)限管理是在IAM與Kubernetes的角色訪問控制（RBAC）的能力基礎(chǔ)上，打造的細粒度權(quán)限管理功能。支持UCS服務(wù)資源權(quán)限、集群中Kubernetes資源權(quán)限兩種維度的權(quán)限控制，這兩種權(quán)限針對的是不同類型的資源，在授權(quán)機制上也存在一些差異，具體如下：

UCS服務(wù)資源權(quán)限：是基于IAM系統(tǒng)策略的授權(quán)。UCS服務(wù)資源包括容器艦隊、集群、聯(lián)邦實例等等，管理員可以針對用戶的角色（如開發(fā)、運維）進行差異化授權(quán)，精細控制他們對UCS資源的使用范圍。

集群中Kubernetes資源權(quán)限：是基于Kubernetes RBAC能力的授權(quán)，可授予針對集群內(nèi)Kubernetes資源對象的細化權(quán)限，通過權(quán)限設(shè)置可以讓不同的用戶有操作不同Kubernetes資源對象（如工作負載、任務(wù)、服務(wù)等Kubernetes原生資源）的權(quán)限。

新建IAM用戶的權(quán)限管理流程如下圖所示：

假設(shè)A公司在華為云使用UCS服務(wù)管理多集群，公司中有多個職能團隊，分別負責權(quán)限分配、資源管理、創(chuàng)建應(yīng)用、流量分發(fā)、監(jiān)控運維等。結(jié)合使用IAM和UCS的權(quán)限管理，可以實現(xiàn)精細化授權(quán)的目標。

1. 行管團隊：負責管理公司所有資源的團隊。
2. 開發(fā)團隊：負責業(yè)務(wù)開發(fā)的團隊。
3. 運維團隊：負責查看并監(jiān)控所有資源使用情況的團隊。
4. 訪客：預(yù)留的只讀權(quán)限團隊，指那些僅具有查看資源權(quán)限的人員。

公司不同的職能團隊針對UCS資源的操作范圍如下所示：

1：由Tenant Administrator角色的管理員為各個職能團隊授權(quán)。

2、3、4、5、6、7、8：擁有UCS FullAccess權(quán)限的行管團隊負責創(chuàng)建艦隊、注冊集群、將集群加入艦隊，以及開通集群聯(lián)邦能力，搭建多集群聯(lián)邦基礎(chǔ)設(shè)施。同時，行管團隊創(chuàng)建權(quán)限，并將權(quán)限關(guān)聯(lián)至艦隊或未加入艦隊的集群，使開發(fā)團隊對具體的Kubernetes資源擁有相應(yīng)的操作權(quán)限。

9、10：擁有UCS CommonOperations權(quán)限的開發(fā)團隊執(zhí)行創(chuàng)建工作負載、流量分發(fā)等操作。

11：擁有UCS CIAOperations權(quán)限的運維團隊執(zhí)行監(jiān)控運維等操作。

12：擁有UCS ReadOnlyAccess權(quán)限的訪客進行集群、艦隊、工作負載等資源的查看操作。