すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:認可管理に関するFAQ

最終更新日:Oct 31, 2024

このトピックでは、認可管理に関するよくある質問に対する回答を提供します。

カテゴリ

問題

権限付与の失敗

RBAC認証

RAM権限付与

コンソールに次のエラーメッセージが表示された場合はどうすればよいですか。ForbiddenQueryClusterNamespace Forbiddenクエリ名前空間?

問題

コンソールには、次のエラーメッセージが表示されます。ForbiddenQueryClusterNamespace Forbidden query namespaces

原因と解決策

使用するResource Access Management (RAM) ユーザーまたはRAMロールには、クラスター内の名前空間に対するロールベースのアクセス制御 (RBAC) 権限がありません。 コンソールの [権限付与] ページに移動して、RBACロールをRAMユーザーまたはRAMロールに割り当てる必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールに次のエラーメッセージが表示された場合はどうすればよいですか?

問題

コンソールには、APISERVER_403というエラーメッセージが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、クラスターで必要なRBAC権限がありません。 コンソールの [権限付与] ページに移動して、RAMユーザーに必要な権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。 RBAC認証の詳細については、「RBAC認証の使用」をご参照ください。

コンソールに次のエラーメッセージが表示された場合の対処方法: 現在のRAMユーザーには管理権限がありません。 権限を取得するには、Alibaba Cloudアカウントの所有者または管理者に連絡してください。

問題

コンソールに次のエラーメッセージが表示されます。現在のRAMユーザーには管理権限がありません。 Alibaba Cloudアカウントの所有者または管理者にアクセス許可を取得してください。

原因

使用するRAMユーザーまたはRAMロールには、クラスターで必要なRAM権限またはRBAC管理者権限がありません。 デフォルトでは、RAMユーザーまたはRAMロールを使用して、他のRAMユーザーまたはRAMロールにRBAC権限を付与することはできません。 次の例は、RAMユーザーAまたはRAMロールAに、他のRAMユーザーまたはRAMロールにRBAC権限を付与する権限を付与する方法を示しています。

ソリューション

次の操作を実行して、RAMユーザーまたはRAMロールに権限を付与し、他のRAMユーザーまたはRAMロールにRBAC権限を付与します。

  • RBAC管理者権限: 定義済みのRBAC管理者ロールまたはcluster-adminロールをRAMユーザーAまたはRAMロールAに割り当て、RAMユーザーまたはRAMロールにアクセスするクラスターと名前空間を指定する必要があります。

  • RAM権限: RAMポリシーをRAMユーザーaまたはRAMロールAにアタッチする必要があります。RAMポリシーには次の権限が含まれている必要があります。

    • 同じAlibaba Cloudアカウントに属する他のRAMユーザーまたはRAMロールを照会します。

    • 指定したRAMユーザーまたはRAMロールにRAMポリシーをアタッチします。

    • RAMユーザーまたはRAMロールのRBAC権限を照会します。

    • RBAC認証を実行します。

次の方法を使用して、RAMポリシーをRAMユーザーAまたはRAMロールAにアタッチします。

RAMコンソールにログインし、RAMユーザーaまたはRAMロールAにカスタムRAMポリシーをアタッチします。詳細については、「カスタムRAMポリシーの作成」をご参照ください。 次のテンプレートを使用して、カスタムRAMポリシーを作成します。

{
    "Statement": [{
            "Action": [
                "ram:Get*",
                "ram:List*",
                "cs:GetUserPermissions",
                "cs:GetSubUsers",
                "cs:GrantPermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ram:AttachPolicyToUser",
                "ram:AttachPolicyToRole"
            ],
            "Effect": "Allow",
            "Resource":  [
                "acs:ram:*:*:policy/xxxxxx",
                "acs:*:*:*:user/*"
            ]
        }
    ],
    "Version": "1"
}
説明

xxxxxxを、RAMユーザーAまたはRAMロールAを他のRAMユーザーまたはRAMロールにアタッチできるようにするRAMポリシーの名前に置き換えます。 xxxxxxをアスタリスク (*) に置き換えた場合、RAMユーザーAまたはRAMロールAは、すべてのRAMポリシーを他のRAMユーザーまたはRAMロールにアタッチする権限が付与されます。

上記のRAMポリシーをRAMユーザーAまたはRAMロールAにアタッチすると、RAMユーザーAまたはRAMロールAは、指定されたRAMポリシーをアタッチし、RBACロールを他のRAMユーザーまたはRAMロールに割り当てる権限が付与されます。 RAMユーザーAまたはRAMロールAを使用してRBACロールを他のRAMユーザーまたはRAMロールに割り当てる方法の詳細については、「RAMユーザーまたはRAMロールにRBAC権限を付与する」をご参照ください。

権限付与エラーがRAMポリシーまたはRBAC権限によって引き起こされているかどうかを特定するにはどうすればよいですか。

APIまたはコンソールから返されるエラーメッセージに基づいて、権限付与エラーがRAMポリシーまたはRBAC権限に起因するかどうかを識別できます。

  • RAMポリシーによって引き起こされる

    問題

    APIまたはコンソールは、次のエラーメッセージを返します。

    RAM policy Forbidden for action cs:DescribeEvents
    STSToken policy Forbidden for action cs:DescribeClusterNodes

    原因

    エラーメッセージは、RAMユーザーまたはRAMロールにアタッチされたRAMポリシーにcs:DescribeEventsアクションが含まれていないことを示します。

    解決策

    APIまたはコンソールから返されるエラーメッセージにRAMポリシーForbiddenまたはSTSTokenポリシーForbiddenが含まれている場合、RAMユーザーまたはRAMロールにアタッチされているRAMポリシーには必要なアクションが含まれていません。 必要なアクションを、RAMユーザーまたはRAMロールにアタッチされているRAMポリシーに追加します。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。

  • RBAC権限によって引き起こされる

    問題

    APIまたはコンソールは、次のエラーメッセージを返します。

    events is forbidden: User "<uid>" cannot list resource "events" in API group "" at the cluster scope
    ForbiddenQueryClusterNamespace, Forbidden query namespaces

    原因

    エラーメッセージは、RAMユーザー <uid> にリソースイベントを一覧表示するために必要なRBAC権限がないことを示します。

    解決策

    APIまたはコンソールから返されるエラーメッセージにAPISERVER_403User "xxx" cannot xx resource "xx" in API group、またはForbiddenQueryClusterNamespaceが含まれている場合、RAMユーザーには必要なRBAC権限がありません。 必要なRBAC権限をRBACユーザーに付与します。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

AdministratorAccessまたはAliyunCSFullAccessポリシーがアタッチされているRAMユーザーを使用してクラスターにアクセスできない場合はどうすればよいですか。

Container Service for Kubernetes (ACK) の権限付与メカニズムは、RAM権限付与とRBAC権限付与で構成されています。 詳細については、『Authorization overview』をご参照ください。 RAMコンソールでRAMユーザーにAdministratorAccessまたはAliyunCSFullAccessポリシーをアタッチした後、[権限付与] ページに移動し、RBACロールをRAMユーザーに割り当てて、クラスターに権限を付与する必要があります。 RBACロールを割り当てる方法の詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールにエラーコードForbiddenCheckControlPlaneLogが表示された場合はどうすればよいですか?

問題

コンソールにエラーコードForbiddenCheckControlPlaneLogが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールにエラーコードForbiddenHelmUsageが表示された場合はどうすればよいですか?

問題

コンソールにエラーコードForbiddenHelmUsageが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに定義済みのRBAC管理者ロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールにエラーコードForbiddenRotateCertが表示された場合はどうすればよいですか?

問題

コンソールにエラーコードForbiddenRotateCertが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに定義済みのRBAC管理者ロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールにエラーコードForbiddenAttachInstanceが表示された場合はどうすればよいですか?

問題

コンソールにエラーコードForbiddenAttachInstanceが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールにエラーコードForbiddenUpdateKMSStateが表示された場合はどうすればよいですか?

問題

コンソールにエラーコードForbiddenUpdateKMSStateが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

コンソールにエラーコードForbidden get triggerが表示された場合はどうすればよいですか?

問題

コンソールにエラーコードForbidden get triggerが表示されます。

原因と解決策

使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロール、O&Mエンジニアロール、または開発者ロールが割り当てられていません。 [権限付与] ページに移動して、RBAC管理者ロール、O&Mエンジニアロール、または開発者ロールを、使用するRAMユーザーまたはRAMロールに割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

アプリケーションに権限を付与できますか?

はい、アプリケーションに権限を付与できます。 カスタムClusterRoleを作成し、個々のアプリケーションに権限を付与するルールを定義できます。 resourceNamesフィールドを使用して、アプリケーションを指定できます。

  1. ACKコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、承認.

  3. On the承認ページをクリックし、RAMユーザータブで、権限を付与するRAMユーザーを見つけ、権限の変更右側に。

    説明

    RAMユーザーまたはRAMロールとしてACKコンソールにログインする場合は、RAMユーザーまたはRAMロールが、管理するクラスターに対して少なくとも読み取り専用の権限を持っていることを確認します。 さらに、RAMユーザーまたはRAMロールには、クラスターのクラスター管理者ロールまたは管理者ロールを割り当てる必要があります。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。

  4. [権限管理] ページで、[権限の追加] をクリックし、権限を付与するクラスター、名前空間、および権限タイプを指定します。 [送信] をクリックします。

    image.png

    説明
    • すべてのクラスターに対する権限を指定したRAMユーザーに付与することもできます。

    • RAMユーザーまたは特定のクラスターまたは名前空間のRAMロールに、1つの定義済みRBACロールと1つ以上のカスタムRBACロールを割り当てることができます。

    次の表に、事前定義およびカスタムRBACロールがクラスターおよび名前空間に対して持つ権限を示します。

    表 1. ロールと権限

    ロール

    クラスターリソースに対するRBAC権限

    管理者

    すべての名前空間のリソースに対する読み取り /書き込み権限。 ノード、ボリューム、名前空間、およびクォータに対する読み取り /書き込み権限。

    O&Mエンジニア

    コンソールおよびすべての名前空間に表示されるKubernetesリソースに対する読み取り /書き込み権限。 ノード、ボリューム、名前空間、およびクォータに対する読み取り専用の権限。

    開発者

    コンソールおよび指定された名前空間に表示されるリソースに対する読み取り /書き込み権限。

    Restricted user

    コンソールおよび指定された名前空間に表示されるリソースに対する読み取り専用の権限。

    カスタムロール

    カスタムロールの権限は、選択したClusterRoleによって決まります。 ClusterRoleを選択する前に、ClusterRoleの権限を確認し、必要な権限のみをRAMユーザーまたはRAMロールに付与してください。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。

    後続の手順の詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

cs:adminロールが割り当てられているRAMユーザーまたはRAMロールが、ACKクラスターにCustomResourceDefinition (CRD) オブジェクトを作成できないのはなぜですか。

5月2019日より前にクラスターが作成された場合、クラスターのデフォルトの管理者ロールには特定のKubernetesリソースにアクセスする権限がありません。 cluster-adminロールをRAMユーザーまたはRAMロールに割り当てることができます。 cs:admin ClusterRoleを削除してから、ClusterRoleを再作成することもできます。

次のYAMLテンプレートを例として示します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cs:admin
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

RAMユーザーまたはRAMロールを使用して、RBACロールを他のRAMユーザーまたはRAMロールに割り当てるにはどうすればよいですか?

詳細については、「コンソールで次のエラーメッセージが表示された場合の対処方法」をご参照ください。現在のRAMユーザーには管理権限がありません。 権限を取得するには、Alibaba Cloudアカウントの所有者または管理者に連絡してください。

ClusterRoleBindingまたはRoleBindingに関連付けられているRAMユーザーまたはRAMロールを確認するにはどうすればよいですか。

ClusterRoleBindingまたはRoleBindingの設定のsubjectsパラメーターの値に基づいて、ClusterRoleBindingまたはRoleBindingに関連付けられているRAMユーザーまたはRAMロールを決定できます。 subjectsパラメーターのkindフィールドの値がUserで、nameフィールドの値が数字で構成されているか、数字とハイフン (-) で構成されている場合、nameフィールドの値はRAMユーザーIDまたはRAMロールIDを示します。

次の例は、ClusterRoleBindingに関連付けられているRAMユーザーのIDが1 *** で、RoleBindingに関連付けられているRAMユーザーのIDが2 *** であることを示しています。

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: 1***-cluster-admin-clusterrolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: 1***-1673419473

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: 2***-default-rolebinding
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: 'cs:ns:dev'
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: '2***'

クラスター作成者のRBAC権限の変更または取り消しに失敗するのはなぜですか。

問題

クラスター作成者のRBAC権限を変更または取り消すと、操作は有効になりません。

原因

クラスター作成者が作成したクラスターをクラスター作成者が管理できないという問題を防ぐために、ACKは、クラスター作成者のRBAC権限を変更または取り消すために送信するリクエストを承認しません。

解決策

クラスター作成者のRBAC権限を取り消す必要がある場合は、次の操作を実行します。

  1. 次のコマンドを実行して、クラスター作成者に権限を付与するために作成されたClusterRoleBindingを照会します。

    <uid> を、照会するAlibaba CloudアカウントのUIDに置き換えます。

    kubectl get clusterrolebinding |grep <uid>
  2. 次のコマンドを実行して、前の手順で返されたClusterRoleBindingをバックアップして削除します。

    <name> を、前の手順で返されたClusterRoleBindingの名前に置き換えます。

    kubectl get clusterrolebinding <name> -o yaml > <name>.yaml
    kubectl delete clusterrolebinding <name>

ターミナル機能を使用するにはどのような権限が必要ですか?

ターミナル機能を使用するには、事前定義されたRBAC管理者ロール、O&Mエンジニアロール、または開発者ロールを、使用するRAMユーザーまたはRAMロールに割り当てる必要があります。 さらに、RAMユーザーまたはRAMロールに、cs:DescribeClusterUserKubeconfig操作を呼び出すRAM権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」および「カスタムRAMポリシーの作成」をご参照ください。

CloudSSOを使用してコンソールにログインするユーザーにRBAC権限を付与するにはどうすればよいですか?

問題

CloudSSOを使用してコンソールにログインするユーザーAliyunReservedSSO-Policy-foo-bar-admin/foo.barにRBAC権限を付与する必要があります。

解決策

ユーザーがCloudSSOを使用してコンソールにログオンすると、ユーザーはRAMロールとしてログオンします。 したがって、ユーザーに権限を付与するには、RAMロールにのみRBAC権限を付与する必要があります。 たとえば、コンソールにログインするユーザーがAliyunReservedSSO-Policy-foo-bar-admin/foo.barの場合、RAMロールAliyunReservedSSO-Policy-foo-bar-adminにRBAC権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

すべてのクラスターで読み取り専用権限を持つRAMユーザーまたはRAMロールが特定のクラスターを表示できないのはなぜですか。

問題

RAMユーザーまたはRAMロールには、RAMコンソールを使用してすべてのクラスターに対する読み取り専用権限が付与され、RBACを使用して2つのクラスターの指定された名前空間に対するアクセス権限が付与されます。 以前は、RAMユーザーはコンソールですべてのクラスターを照会できました。 ただし、RAMユーザーは現在、一部のクラスターのみをクエリできます。 RAMユーザーの権限は最近変更されていません。

原因

別のRAMユーザーまたはRAMロールを使用してACKコンソールにログインするか、リソースグループを選択します。 この場合、アクセス許可を付与したRAMユーザーまたはRAMロールを使用してACKコンソールにログインし、ACKコンソールの上部ナビゲーションバーで [すべてのリソース] を選択する必要があります。

解決策

  1. ACKコンソールにログインします。

  2. 上部のナビゲーションバーで、すべてのリソース > すべてのリソース.

    11

  3. ACKコンソールの右上隅にあるアバターの上にポインターを移動し、必要な権限を持つRAMユーザーまたはRAMロールとしてログオンしていることを確認します。

RAMユーザーまたはRAMロールにクラスターを作成する権限を付与するにはどうすればよいですか。

  1. Alibaba Cloudアカウントを使用して、システムの役割をACKに割り当てます。

    • サービスにリンクされたロールを割り当てる必要があるのは1回だけです。 権限が付与されているかどうかを確認できない場合は、Alibaba Cloudアカウントを使用してログインし、[Cloud Resource Access Authorization] をクリックして、一度にシステムロールをACKに割り当てます。

    • ACKのデフォルトのシステムロールの詳細については、「ACKのデフォルトロール」をご参照ください。

  2. Alibaba Cloudアカウントを使用して、カスタムRAMポリシーをRAMユーザーまたはRAMロールにアタッチします。

    RAMユーザーまたはRAMロールにcs:CreateCluster権限があることを確認します。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。

    次のYAMLテンプレートはその例です。

    {
     "Statement": [{
         "Action": [
             "cs:CreateCluster"
         ],
         "Effect": "Allow",
         "Resource": [
             "*"
         ]
     }],
     "Version": "1"
    }
    説明
    • クラスターが作成されると、システムは仮想プライベートクラウド (VPC) などのクラウドリソースをクラスターに関連付けます。 RAMユーザーまたはRAMロールにクラウドリソースへのアクセスに必要な権限が付与されていることを確認します。

    • RAMユーザーがVPCでList権限を持っていることを確認します。 この権限を付与するには、AliyunVPCReadOnlyAccessポリシーをRAMユーザーにアタッチします。

    • 他のリソースに対する権限を付与する場合は、対応するクラウドサービスに関連するシステムポリシーと権限に関するドキュメントを確認してください。 詳細については、「 RAM での権限付与」をご参照ください。

現在のAlibaba CloudアカウントにACKが依存するサービスロールが割り当てられていないことを示すエラーコードは何ですか。

ACKを使用するときにACKコンソールまたはOpenAPI Explorerプラットフォームに次のエラーコードが表示された場合、現在のAlibaba Cloudアカウントには、ACKが依存するサービスロールが割り当てられていません。 ACKコンソールまたはOpenAPI Explorerプラットフォームにログインし、エラーメッセージのハイパーリンクをクリックするには、AdministratorAccessポリシーがアタッチされているAlibaba CloudアカウントまたはRAMユーザーを使用する必要があります。 表示されるページで、Alibaba CloudアカウントまたはRAMユーザーにロールを割り当てます。

エラーコード

サンプルエラーメッセージ

ErrManagedKubernetes RoleNotAttach

https://ur.alipay.com/1paTcxSWdAEW70GVH5TZiO でクラスターアドオンのサービスramrole認証を完了してください

ErrKubernetes AuditRoleNotAttach

https://ur.alipay.com/1paTcxSWdAEW70GVH5TZiO でクラスターアドオンのサービスramrole認証を完了してください

ErrManagedAddonRoleNotAttach

https://ur.alipay.com/1paTcxSWdAEW70GVH5TZiO でクラスターアドオンのサービスramrole認証を完了してください

ErrManagedSecurityRoleNotAttach

https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedSecurityRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedSecurityRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でセキュリティのramroleの承認を完了して下さい

ErrEdgeAddonRoleNotAttach

https://ur.alipay.com/6rpkox1Pb2wPrMupKVLsiL でエッジクラスターアドオンのサービスramrole認証を完了してください

ErrAutoScalerRoleNotAttach

https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedAutoScalerRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedAutoScalerRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でクラスターアドオンのサービスramrole認証を完了してください

ErrAcrHelperRoleNotAttach

https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedAcrRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedAcrRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でクラスターアドオンのサービスramrole認証を完了してください

ErrCostExporterRoleNotAttach

https://ram.console.aliyun.com/role/authorize?request=%7B%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Services%22%3A%5B%7B%22Roles%22%3A%5B%7B%22RoleName%22%3A%22AliyunCSManagedCostRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedCostRole%22%7D%5D%2C%22Service%22%3A%22CS%22%7D%5D%7D でクラスターアドオンのサービスramrole認証を完了してください

MissingAuth.AliyuncsManagedSecurityRole

https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedSecurityRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedSecurityRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でセキュリティのramroleの承認を完了して下さい

ACKのシステムロールを割り当てるページに移動するにはどうすればよいですか?

ACKに割り当てられているシステムの役割を取り消した場合は、システムの役割を再度ACKに割り当てる必要があります。 詳細については、「手順2: ACKにデフォルトロールを割り当てる」をご参照ください。

説明

Alibaba Cloudアカウントを使用して、システムロールをACKに再割り当てする必要があります。

RAMロールがECSインスタンスから取り消された場合はどうすればよいですか。

Elastic Compute Service (ECS) インスタンスで実行されるアプリケーションがmetadata api 100にリクエストを送信すると、404エラーまたはMessage:Node condition RAMRoleErrorが現在: True, reason: NodeHasNoRAMRoleエラーメッセージが返されます。 次の方法を使用して、RAMロールをECSインスタンスに再割り当てできます。

  • RAMロールがECSインスタンスから取り消された場合、RAMロールをECSインスタンスに再度割り当てる必要があります。 詳細については、「インスタンスRAMロールの置き換え」をご参照ください。

    • ECSインスタンスがクラスター内でマスターノードとして機能する場合、マスターRAMロールをECSインスタンスに割り当てる必要があります。 クラスターの詳細ページに移動し、[クラスター情報] > [クラスターリソース] > [マスターRAMロール] を選択します。

    • ECSインスタンスがクラスター内のワーカーノードとして機能する場合、ワーカーRAMロールをECSインスタンスに割り当てる必要があります。 クラスターの詳細ページに移動し、[クラスター情報] > [クラスターリソース] > [ワーカーRAMロール] を選択します。

  • RAMロールにアタッチされているポリシーの内容を変更した場合は、変更した内容に必要な権限が含まれているかどうかを確認します。

  • エラーが発生する前にRAMロールにアタッチされているポリシーの内容を変更した場合は、ポリシーを元のバージョンにロールバックしてみてください。

カスタムRAMロールをACKクラスターに割り当てるにはどうすればよいですか?

カスタムRAMロールをACKクラスターに割り当てることはできません。 ただし、ワーカーノードの作成時に自動的に作成され、クラスターに割り当てられるワーカーRAMロールにカスタムRAMポリシーをアタッチできます。

  1. 次のコードブロックに基づいてカスタムRAMポリシーを作成します。 コードブロックには、ACKクラスターをスケーリングおよび削除する権限が含まれています。 詳細については、「手順1: カスタムポリシーの作成」をご参照ください。

    {
                "Action": [
                  "cs:ScaleCluster",
                  "cs:DeleteCluster"
                ],
                "Resource": "*",
                "Effect": "Allow"
             }
  2. クラスターで使用されるワーカーRAMロールにRAMポリシーをアタッチします。 詳細については、「カスタムポリシーをワーカーRAMロールにアタッチする」をご参照ください。

関連スタッフが辞任したためにRAMユーザーが削除された後、オンラインワークロードは影響を受けますか?

RAMユーザーを削除した後は、通常どおり、他のRAMユーザーを使用してクラスターを管理できます。 ただし、Alibaba Cloudアカウントを使用して、削除したRAMユーザーに発行されたkubeconfigファイルを取り消す必要があります。 詳細については、「クラスターのkubeconfigファイルの取り消し」をご参照ください。

重要

削除したRAMユーザーに発行されたkubeconfigファイルを取り消す前に、アプリケーションに保存されているkubeconfigファイルを新しいkubeconfigファイルに置き換える必要があります。