Container Service for Kubernetes (ACK) は、他のAlibaba Cloudサービスに依存します。 Resource Access Management (RAM) ユーザーを使用してACKコンソールにアクセスする場合は、RAMロールを期待どおりに使用する前に、必要なクラウドサービス権限を設定する必要があります。 このトピックでは、RAMユーザーがACKコンソールのさまざまな機能を使用するために必要なクラウドサービスと権限について説明します。
次のセクションでは、ACKが依存する他のクラウドサービスを管理する権限のみを示します。 ACKコンソールを管理するには、RAMユーザーにAliyunCSFullAccess権限または必要なカスタム権限も付与する必要があります。 権限を付与する方法の詳細については、「RAMを使用してクラスターとクラウドリソースへのアクセスを許可する」をご参照ください。
ACKクラスターに必要なクラウドサービスの場合は、読み取り専用権限のみを付与する必要があります。 必須でない場合は、作成権限を付与する必要はありません。 たとえば、クラスターの作成時に既存のVPC (Virtual private cloud) を使用する場合は、VPCの読み取り専用権限のみを付与する必要があります。
RAMユーザーが依存するクラウドサービスの権限を設定した後、引き続きRBACを使用してクラスター内のリソースに対する操作権限を管理する必要があります。 これにより、RAMユーザーはクラスターのリソースを管理できます。
機能 | 依存関係 | システム権限 | カスタム権限 Action | リソース | コンソールで管理される権限 |
機能 | 依存関係 | システム権限 | カスタム権限 Action | リソース | コンソールで管理される権限 |
より多くのクォータを申請する | クォータセンター | AliyunQuotasFullAccess | クォータ: ListProductQuotas | * | 特定のAlibaba Cloudサービスのクォータを照会します。 |
クォータ: ListProductQuotaDimensions | * | Alibaba Cloudサービスでサポートされているクォータディメンションを照会します。 | |||
クォータ: ListProductDimensionGroups | * | 特定のAlibaba Cloudサービスのディメンショングループを照会します。 | |||
クォータ: ListDependentQuotas | * | クォータが依存するクォータを照会します。 | |||
クォータ: CreateQuotaApplication | * | アプリケーションを送信してクォータを増やします。 | |||
クラスターの作成 | 費用と費用 | AliyunBSSFullAccess / AliyunBSSReadOnlyAccess | bssapi:GetPayAsYouGoPrice | * | 製品の価格を照会します。 |
VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | クラスター設定 > ネットワーク設定 > VPC > 既存のVPCの選択 | |
vpc:DescribeVpcs | * | クラスター設定 > ネットワーク設定 > vSwitch > 既存のvSwitchの選択 | |||
AliyunVPCFullAccess | vpc:CreateVpc | * | クラスター設定 > ネットワーク設定 > VPC > VPCの作成 | ||
vpc:CreateVSwitch | * | クラスター設定 > ネットワーク設定 > vSwitch > vSwitchの作成 | |||
Server Load Balancer (SLB) | AliyunSLBFullAccess / AliyunSLBReadOnlyAccess | slb:DescribeLoadBalancers | * | クラスター設定 > ネットワーク設定 > APIサーバーへのアクセス > SLBソース > 既存のVPCの選択 | |
slb:DescribeLoadBalancerListeners | * | ||||
AliyunSLBFullAccess | slb:CreateLoadBalancer | * | クラスター設定 > ネットワーク設定 > APIサーバーへのアクセス > SLBソース > 作成 | ||
ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeSecurityGroups | * | クラスター設定 > ネットワーク設定 > セキュリティグループ > [既存のセキュリティグループの選択] | |
ecs:DescribePrice | * | ノードプール設定 > インスタンスとイメージ > インスタンスタイプに移動します。 次に、インスタンスを選択してインスタンスの価格を確認します。 | |||
ecs:DescribeImages | * | ノードプール設定 > インスタンスとイメージ > オペレーティングシステムに移動します。 次に、カスタムイメージまたはマーケットプレイスイメージを選択します。 | |||
ecs:DescribeKeyPairs | * | ノードプール設定 > インスタンスとイメージ > ログオンタイプ > キーペア | |||
ecs:DescribeDeploymentSets | * | マスター設定 > デプロイメントセット > デプロイメントセットの選択 | |||
AliyunECSFullAccess | ecs:CreateSecurityGroup | * | [クラスター設定] > [ネットワーク設定] > [セキュリティグループ] に移動します。 次に、[基本セキュリティグループの作成] または [高度なセキュリティグループの作成] を選択します。 | ||
Key Management Service (KMS) | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | クラスター設定 > 詳細オプション (オプション) > 秘密の暗号化 > キーの選択 | |
自動スケーリング | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribePatternTypes | * | ノードプール設定 > インスタンス設定モード > インスタンス属性の指定 | |
ApsaraDB RDS | AliyunRDSFullAccess / AliyunRDSReadOnlyAccess | rds:DescribeDBInstances | * | ノードプール設定 > 詳細オプション (オプション) > RDSホワイトリスト > RDSインスタンスの選択 | |
Application Load Balancer | AliyunALBFullAccess / AliyunALBReadOnlyAccess | alb:ListLoadBalancers | * | コンポーネント設定 > ALB Ingress > ALB Ingress > 既存 | |
AliyunALBFullAccess | alb:CreateLoadBalancer | * | コンポーネント設定 > ALB Ingress > ALB Ingress > 新規 | ||
Microservices Engine (MSE) | AliyunMSEFullAccess / AliyunMSEReadOnlyAccess | mse:ListGateway | * | コンポーネント設定 > ALB Ingress > MSE Ingress > 既存 | |
AliyunMSEFullAccess | mse:AddGateway | * | コンポーネント設定 > ALB Ingress > MSE Ingress > 新規 | ||
シンプルなLog Service (SLS) | AliyunLogFullAccess /AliyunLogReadOnlyAccess | ログ: ListProject | * |
| |
AliyunLogFullAccess | ログ: CreateProject | * |
| ||
クラスター情報 > 基本情報 | VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | 制御プレーンスイッチを置き換えるためのvSwitchを照会します。 |
vpc:DescribeEipAddresses | * | elastic IPアドレス (EIP) を照会して置き換える APIサーバーのパブリックエンドポイント。 | |||
KMS | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | シークレット暗号化を有効にします。 | |
クラスター情報 > クラスターモニタリング | Application Real-Time Monitoring Service (ARMS) | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:ListDashboards | * | クラスターのGrafanaダッシュボードを照会します。 |
Cloud Shellでのクラスターの管理 | クラウドシェル | AliyunCloudShellFullAccess | cloudshell:CreateEnvironment | * | CloudShellインスタンス環境を作成します。 |
cloudshell:AttachStorage | * | ||||
cloudshell:DetachStorage | * | ||||
cloudshell:CreateSession | * | ||||
cloudshell: ダウンロードファイル | * | ファイルのアップロードとダウンロードを実行します。 | |||
cloudshell:UploadFile | * | ||||
ファイルストレージNAS (NAS) | AliyunNASFullAccess | nas:DescribeFileSystems | * | NASファイルシステムを作成してバインドします。 | |
nas:CreateFileSystem | * | ||||
nas:DescribeAccessRules | * | ||||
ノードプール > ノードプールの作成 | ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeImages | * | オペレーティングシステムイメージを選択すると、カスタムイメージとMarketplaceイメージの権限を取得できます。 |
ecs:DescribePrice | * | ECSリソースの最新価格を照会します。 | |||
ノードプール > ノードプールの作成または編集 | VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVpcs | * | VPCを照会します。 |
ノードプール > ログオンモード | ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeKeyPairs | * | キーを照会します。 |
ノードプール > 既存のノードの追加 | ecs:DescribeInstances | * | 追加可能なインスタンスを照会します。 | ||
ecs:DescribeSecurityGroups | * | セキュリティグループを照会します。 | |||
ノードプール > 詳細 > スケーリングアクティビティ | Auto Scaling | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribeScalingActivities | * | スケーリングアクティビティを照会します。 |
ess:DescribeScalingActivityDetail | * | スケーリングアクティビティの詳細を照会します。 | |||
ess:DescribeLifecycleActions | * | スケーリングアクティビティのライフサイクルアクションを照会します。 | |||
CloudOpsオーケストレーションサービス (OOS) | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oos:ListExecutions | * | 実行情報を照会します。 | |
ワークロード > イメージから作成 | Container Registry | AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess | cr:ListInstance | * | Container Registryインスタンスを照会します。 |
cr:ListInstanceDomain | * | Container Registryインスタンスに関する情報を照会します。 | |||
cr:ListRepository | * | Container Registryインスタンスのイメージリポジトリを照会します。 | |||
cr:ListArtifactTag | * | Container Registryインスタンスのイメージタグを照会します。 | |||
アプリケーション > Knative > Monitoring Dashboards | ARMS | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | 腕: InstallAddon | * | アドオンをインストールします。 |
検査と診断 > クラスター検査と診断 | RAM | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:GetRole | acs:ram:*:*:role/aliyuncisdefaultrole | AliyunCISDefaultRoleは、障害診断とクラスタ検査の実行に使用されます。 |
検査と診断 > クラスターチェック > ログ | SLS | AliyunLogFullAccess | ログ: GetDashboard | * | ログを照会します。 |
ログ: ListDashboard | * | ||||
log:ListLogStores | * | ||||
ログ: ListSavedSearch | * | ||||
ログ: GetLogStoreLogs | * | ||||
ログ: GetSavedSearch | * | ログイベントに関する情報を照会します。 | |||
ログ: GetIndex | * | クエリ 文。 | |||
ログ: UpdateIndex | * | ||||
ログ: GetLogStore | * | ||||
ログ: CreateDashboardSharing | * | パスワードなしの共有を作成します。 | |||
操作 > Log Center > 制御プレーンコンポーネントログ | AliyunLogFullAccess /AliyunLogReadOnlyAccess | ログ: ListProject | * | Logstoreを照会します。 | |
操作 > Log Center > ネットワークコンポーネントログ | AliyunLogFullAccess | ログ: GetProjectLogs | * | ALB Ingressログの管理に必要な権限。 | |
ログ: GetResourceRecord | * | ||||
ログ: CreateResourceRecord | * | ||||
ログ: UpdateResourceRecord | * | ||||
セキュリティ > 検査 | Security Center | AliyunYundunSASFullAccess | yundun-sas:DescribeVersionConfig | * | 購入したSecurity Centerエディションの詳細を照会します。 |
yundun-sas:GetClusterSuspEventStatistics | * | セキュリティアラート統計を照会します。 | |||
yundun-sas:DescribeClusterVulStatistics | * | 脆弱性に関する統計を照会します。 | |||
yundun-sas:GetClusterCheckItemWarningStatistics | * | リスクイベントに関する統計を照会します。 | |||
yundun-sas:GetInterceptionSummary | * | コンテナーファイアウォールアラートの数に関する統計を照会します。 | |||
yundun-sas:ListGroups | * | サーバーグループのリストを照会します。 | |||
yundun-sas:ListAccountsInResourceDirectory | * | セキュリティ警告に関連する権限。 | |||
yundun-sas:DescribeMonitorAccounts | * | ||||
yundun-sas:DescribeSuspEvents | * | ||||
yundun-sas:DescribeGroupedVul | * | 脆弱性リスクに関連する権限。 | |||
yundun-sas:DescribeVulExportInfo | * | ||||
yundun-sas:ExportVul | * | ||||
yundun-aegis:DescribeVulNumStatistics | * | ||||
yundun-sas:DescribeGroupedInstances | * | ||||
yundun-sas:DescribeFixUsedCount | * | ||||
yundun-sas:DescribeServiceLinkedRoleStatus | * | ||||
yundun-sas:DescribeVulConfig | * | ||||
yundun-sas:DescribeVulList | * | ||||
yundun-sas:DescribeRiskType | * | ベースラインリスクに関連する権限。 | |||
yundun-sas:ListCheckItemWarningSummary | * | ||||
yundun-sas:ListInterceptionHistory | * | ||||
yundun-sas:ListClusterInterceptionConfig | * | ||||
yundun-sas:GetAssetDetailByUuid | * | ||||
yundun-sas:ListPluginForUuid | * | ||||
yundun-sas:ValidateHcWarnings | * | ||||
yundun-sas:DescribeCheckWarningMachines | * | ||||
yundun-sas:IgnoreCheckItems | * | ||||
yundun-sas:ListCheckItemWarningMachine | * | コンテナーファイアウォールアラートに関連する権限。 | |||
ストレージ > CNFSファイルシステムの作成 | Object Storage Service (OSS) | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oss:ListBucketsByRegion | * | ファイルシステムタイプをOSSに設定した場合、OSSバケットに必要な権限を選択します。 |
アプリケーションのバックアップ | oss:ListBucketsByRegion | * | バックアップボールトの作成> OSSバケットの選択 | ||
権限付与 > RAMユーザー | アクセス制御 | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:ListUserBasicInfos | * | すべてのRAMユーザーに関する基本情報を照会します。 |
権限付与 > RAMロール | ram:ListRoles | * | すべてのRAMロールを照会します。 |
