このトピックでは、認可管理に関するよくある質問に対する回答を提供します。
カテゴリ | 問題 |
権限付与の失敗 | |
RBAC認証 | |
RAM権限付与 |
コンソールに次のエラーメッセージが表示された場合はどうすればよいですか。ForbiddenQueryClusterNamespace Forbiddenクエリ名前空間?
問題
コンソールには、次のエラーメッセージが表示されます。ForbiddenQueryClusterNamespace Forbidden query namespaces。
原因と解決策
使用するResource Access Management (RAM) ユーザーまたはRAMロールには、クラスター内の名前空間に対するロールベースのアクセス制御 (RBAC) 権限がありません。 コンソールの [権限付与] ページに移動して、RBACロールをRAMユーザーまたはRAMロールに割り当てる必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールに次のエラーメッセージが表示された場合はどうすればよいですか?
問題
コンソールには、APISERVER_403というエラーメッセージが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、クラスターで必要なRBAC権限がありません。 コンソールの [権限付与] ページに移動して、RAMユーザーに必要な権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。 RBAC認証の詳細については、「RBAC認証の使用」をご参照ください。
コンソールに次のエラーメッセージが表示された場合の対処方法: 現在のRAMユーザーには管理権限がありません。 権限を取得するには、Alibaba Cloudアカウントの所有者または管理者に連絡してください。
問題
コンソールに次のエラーメッセージが表示されます。現在のRAMユーザーには管理権限がありません。 Alibaba Cloudアカウントの所有者または管理者にアクセス許可を取得してください。
原因
使用するRAMユーザーまたはRAMロールには、クラスターで必要なRAM権限またはRBAC管理者権限がありません。 デフォルトでは、RAMユーザーまたはRAMロールを使用して、他のRAMユーザーまたはRAMロールにRBAC権限を付与することはできません。 次の例は、RAMユーザーAまたはRAMロールAに、他のRAMユーザーまたはRAMロールにRBAC権限を付与する権限を付与する方法を示しています。
ソリューション
次の操作を実行して、RAMユーザーまたはRAMロールに権限を付与し、他のRAMユーザーまたはRAMロールにRBAC権限を付与します。
RBAC管理者権限: 定義済みのRBAC管理者ロールまたはcluster-adminロールをRAMユーザーAまたはRAMロールAに割り当て、RAMユーザーまたはRAMロールにアクセスするクラスターと名前空間を指定する必要があります。
RAM権限: RAMポリシーをRAMユーザーaまたはRAMロールAにアタッチする必要があります。RAMポリシーには次の権限が含まれている必要があります。
同じAlibaba Cloudアカウントに属する他のRAMユーザーまたはRAMロールを照会します。
指定したRAMユーザーまたはRAMロールにRAMポリシーをアタッチします。
RAMユーザーまたはRAMロールのRBAC権限を照会します。
RBAC認証を実行します。
次の方法を使用して、RAMポリシーをRAMユーザーAまたはRAMロールAにアタッチします。
RAMコンソールにログインし、RAMユーザーaまたはRAMロールAにカスタムRAMポリシーをアタッチします。詳細については、「カスタムRAMポリシーの作成」をご参照ください。 次のテンプレートを使用して、カスタムRAMポリシーを作成します。
{
"Statement": [{
"Action": [
"ram:Get*",
"ram:List*",
"cs:GetUserPermissions",
"cs:GetSubUsers",
"cs:GrantPermission"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ram:AttachPolicyToUser",
"ram:AttachPolicyToRole"
],
"Effect": "Allow",
"Resource": [
"acs:ram:*:*:policy/xxxxxx",
"acs:*:*:*:user/*"
]
}
],
"Version": "1"
}
xxxxxxを、RAMユーザーAまたはRAMロールAを他のRAMユーザーまたはRAMロールにアタッチできるようにするRAMポリシーの名前に置き換えます。 xxxxxxをアスタリスク (*) に置き換えた場合、RAMユーザーAまたはRAMロールAは、すべてのRAMポリシーを他のRAMユーザーまたはRAMロールにアタッチする権限が付与されます。
上記のRAMポリシーをRAMユーザーAまたはRAMロールAにアタッチすると、RAMユーザーAまたはRAMロールAは、指定されたRAMポリシーをアタッチし、RBACロールを他のRAMユーザーまたはRAMロールに割り当てる権限が付与されます。 RAMユーザーAまたはRAMロールAを使用してRBACロールを他のRAMユーザーまたはRAMロールに割り当てる方法の詳細については、「RAMユーザーまたはRAMロールにRBAC権限を付与する」をご参照ください。
権限付与エラーがRAMポリシーまたはRBAC権限によって引き起こされているかどうかを特定するにはどうすればよいですか。
APIまたはコンソールから返されるエラーメッセージに基づいて、権限付与エラーがRAMポリシーまたはRBAC権限に起因するかどうかを識別できます。
RAMポリシーによって引き起こされる
問題
APIまたはコンソールは、次のエラーメッセージを返します。
RAM policy Forbidden for action cs:DescribeEvents STSToken policy Forbidden for action cs:DescribeClusterNodes
原因
エラーメッセージは、RAMユーザーまたはRAMロールにアタッチされたRAMポリシーに
cs:DescribeEvents
アクションが含まれていないことを示します。解決策
APIまたはコンソールから返されるエラーメッセージにRAMポリシーForbiddenまたはSTSTokenポリシーForbiddenが含まれている場合、RAMユーザーまたはRAMロールにアタッチされているRAMポリシーには必要なアクションが含まれていません。 必要なアクションを、RAMユーザーまたはRAMロールにアタッチされているRAMポリシーに追加します。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。
RBAC権限によって引き起こされる
問題
APIまたはコンソールは、次のエラーメッセージを返します。
events is forbidden: User "<uid>" cannot list resource "events" in API group "" at the cluster scope ForbiddenQueryClusterNamespace, Forbidden query namespaces
原因
エラーメッセージは、RAMユーザー
<uid>
にリソースイベントを一覧表示するために必要なRBAC権限がないことを示します。解決策
APIまたはコンソールから返されるエラーメッセージにAPISERVER_403、User "xxx" cannot xx resource "xx" in API group、またはForbiddenQueryClusterNamespaceが含まれている場合、RAMユーザーには必要なRBAC権限がありません。 必要なRBAC権限をRBACユーザーに付与します。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
AdministratorAccessまたはAliyunCSFullAccessポリシーがアタッチされているRAMユーザーを使用してクラスターにアクセスできない場合はどうすればよいですか。
Container Service for Kubernetes (ACK) の権限付与メカニズムは、RAM権限付与とRBAC権限付与で構成されています。 詳細については、『Authorization overview』をご参照ください。 RAMコンソールでRAMユーザーにAdministratorAccessまたはAliyunCSFullAccessポリシーをアタッチした後、[権限付与] ページに移動し、RBACロールをRAMユーザーに割り当てて、クラスターに権限を付与する必要があります。 RBACロールを割り当てる方法の詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールにエラーコードForbiddenCheckControlPlaneLogが表示された場合はどうすればよいですか?
問題
コンソールにエラーコードForbiddenCheckControlPlaneLogが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールにエラーコードForbiddenHelmUsageが表示された場合はどうすればよいですか?
問題
コンソールにエラーコードForbiddenHelmUsageが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに定義済みのRBAC管理者ロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールにエラーコードForbiddenRotateCertが表示された場合はどうすればよいですか?
問題
コンソールにエラーコードForbiddenRotateCertが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに定義済みのRBAC管理者ロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールにエラーコードForbiddenAttachInstanceが表示された場合はどうすればよいですか?
問題
コンソールにエラーコードForbiddenAttachInstanceが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールにエラーコードForbiddenUpdateKMSStateが表示された場合はどうすればよいですか?
問題
コンソールにエラーコードForbiddenUpdateKMSStateが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられていません。 [権限付与] ページに移動して、使用するRAMユーザーまたはRAMロールに、定義済みのRBAC管理者ロールまたはO&Mエンジニアロールを割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
コンソールにエラーコードForbidden get triggerが表示された場合はどうすればよいですか?
問題
コンソールにエラーコードForbidden get triggerが表示されます。
原因と解決策
使用するRAMユーザーまたはRAMロールには、定義済みのRBAC管理者ロール、O&Mエンジニアロール、または開発者ロールが割り当てられていません。 [権限付与] ページに移動して、RBAC管理者ロール、O&Mエンジニアロール、または開発者ロールを、使用するRAMユーザーまたはRAMロールに割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
アプリケーションに権限を付与できますか?
はい、アプリケーションに権限を付与できます。 カスタムClusterRoleを作成し、個々のアプリケーションに権限を付与するルールを定義できます。 resourceNames
フィールドを使用して、アプリケーションを指定できます。
ACKコンソールにログインします。
左側のナビゲーションウィンドウで、承認.
On the承認ページをクリックし、RAMユーザータブで、権限を付与するRAMユーザーを見つけ、権限の変更右側に。
説明RAMユーザーまたはRAMロールとしてACKコンソールにログインする場合は、RAMユーザーまたはRAMロールが、管理するクラスターに対して少なくとも読み取り専用の権限を持っていることを確認します。 さらに、RAMユーザーまたはRAMロールには、クラスターのクラスター管理者ロールまたは管理者ロールを割り当てる必要があります。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。
[権限管理] ページで、[権限の追加] をクリックし、権限を付与するクラスター、名前空間、および権限タイプを指定します。 [送信] をクリックします。
説明すべてのクラスターに対する権限を指定したRAMユーザーに付与することもできます。
RAMユーザーまたは特定のクラスターまたは名前空間のRAMロールに、1つの定義済みRBACロールと1つ以上のカスタムRBACロールを割り当てることができます。
次の表に、事前定義およびカスタムRBACロールがクラスターおよび名前空間に対して持つ権限を示します。
表 1. ロールと権限
ロール
クラスターリソースに対するRBAC権限
管理者
すべての名前空間のリソースに対する読み取り /書き込み権限。 ノード、ボリューム、名前空間、およびクォータに対する読み取り /書き込み権限。
O&Mエンジニア
コンソールおよびすべての名前空間に表示されるKubernetesリソースに対する読み取り /書き込み権限。 ノード、ボリューム、名前空間、およびクォータに対する読み取り専用の権限。
開発者
コンソールおよび指定された名前空間に表示されるリソースに対する読み取り /書き込み権限。
Restricted user
コンソールおよび指定された名前空間に表示されるリソースに対する読み取り専用の権限。
カスタムロール
カスタムロールの権限は、選択したClusterRoleによって決まります。 ClusterRoleを選択する前に、ClusterRoleの権限を確認し、必要な権限のみをRAMユーザーまたはRAMロールに付与してください。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。
後続の手順の詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
cs:admin
ロールが割り当てられているRAMユーザーまたはRAMロールが、ACKクラスターにCustomResourceDefinition (CRD) オブジェクトを作成できないのはなぜですか。
5月2019日より前にクラスターが作成された場合、クラスターのデフォルトの管理者ロールには特定のKubernetesリソースにアクセスする権限がありません。 cluster-admin
ロールをRAMユーザーまたはRAMロールに割り当てることができます。 cs:admin
ClusterRoleを削除してから、ClusterRoleを再作成することもできます。
次のYAMLテンプレートを例として示します。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: cs:admin
rules:
- apiGroups:
- '*'
resources:
- '*'
verbs:
- '*'
- nonResourceURLs:
- '*'
verbs:
- '*'
RAMユーザーまたはRAMロールを使用して、RBACロールを他のRAMユーザーまたはRAMロールに割り当てるにはどうすればよいですか?
ClusterRoleBindingまたはRoleBindingに関連付けられているRAMユーザーまたはRAMロールを確認するにはどうすればよいですか。
ClusterRoleBindingまたはRoleBindingの設定のsubjects
パラメーターの値に基づいて、ClusterRoleBindingまたはRoleBindingに関連付けられているRAMユーザーまたはRAMロールを決定できます。 subjects
パラメーターのkindフィールドの値がUserで、nameフィールドの値が数字で構成されているか、数字とハイフン (-) で構成されている場合、nameフィールドの値はRAMユーザーIDまたはRAMロールIDを示します。
次の例は、ClusterRoleBindingに関連付けられているRAMユーザーのIDが1 ***
で、RoleBindingに関連付けられているRAMユーザーのIDが2 ***
であることを示しています。
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: 1***-cluster-admin-clusterrolebinding
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: 1***-1673419473
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: 2***-default-rolebinding
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: 'cs:ns:dev'
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: '2***'
クラスター作成者のRBAC権限の変更または取り消しに失敗するのはなぜですか。
問題
クラスター作成者のRBAC権限を変更または取り消すと、操作は有効になりません。
原因
クラスター作成者が作成したクラスターをクラスター作成者が管理できないという問題を防ぐために、ACKは、クラスター作成者のRBAC権限を変更または取り消すために送信するリクエストを承認しません。
解決策
クラスター作成者のRBAC権限を取り消す必要がある場合は、次の操作を実行します。
次のコマンドを実行して、クラスター作成者に権限を付与するために作成されたClusterRoleBindingを照会します。
<uid>
を、照会するAlibaba CloudアカウントのUIDに置き換えます。kubectl get clusterrolebinding |grep <uid>
次のコマンドを実行して、前の手順で返されたClusterRoleBindingをバックアップして削除します。
<name>
を、前の手順で返されたClusterRoleBindingの名前に置き換えます。kubectl get clusterrolebinding <name> -o yaml > <name>.yaml kubectl delete clusterrolebinding <name>
ターミナル機能を使用するにはどのような権限が必要ですか?
ターミナル機能を使用するには、事前定義されたRBAC管理者ロール、O&Mエンジニアロール、または開発者ロールを、使用するRAMユーザーまたはRAMロールに割り当てる必要があります。 さらに、RAMユーザーまたはRAMロールに、cs:DescribeClusterUserKubeconfig
操作を呼び出すRAM権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」および「カスタムRAMポリシーの作成」をご参照ください。
CloudSSOを使用してコンソールにログインするユーザーにRBAC権限を付与するにはどうすればよいですか?
問題
CloudSSOを使用してコンソールにログインするユーザーAliyunReservedSSO-Policy-foo-bar-admin/foo.barにRBAC権限を付与する必要があります。
解決策
ユーザーがCloudSSOを使用してコンソールにログオンすると、ユーザーはRAMロールとしてログオンします。 したがって、ユーザーに権限を付与するには、RAMロールにのみRBAC権限を付与する必要があります。 たとえば、コンソールにログインするユーザーがAliyunReservedSSO-Policy-foo-bar-admin/foo.barの場合、RAMロールAliyunReservedSSO-Policy-foo-bar-adminにRBAC権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
すべてのクラスターで読み取り専用権限を持つRAMユーザーまたはRAMロールが特定のクラスターを表示できないのはなぜですか。
問題
RAMユーザーまたはRAMロールには、RAMコンソールを使用してすべてのクラスターに対する読み取り専用権限が付与され、RBACを使用して2つのクラスターの指定された名前空間に対するアクセス権限が付与されます。 以前は、RAMユーザーはコンソールですべてのクラスターを照会できました。 ただし、RAMユーザーは現在、一部のクラスターのみをクエリできます。 RAMユーザーの権限は最近変更されていません。
原因
別のRAMユーザーまたはRAMロールを使用してACKコンソールにログインするか、リソースグループを選択します。 この場合、アクセス許可を付与したRAMユーザーまたはRAMロールを使用してACKコンソールにログインし、ACKコンソールの上部ナビゲーションバーで [すべてのリソース] を選択する必要があります。
解決策
ACKコンソールにログインします。
上部のナビゲーションバーで、 .
ACKコンソールの右上隅にあるアバターの上にポインターを移動し、必要な権限を持つRAMユーザーまたはRAMロールとしてログオンしていることを確認します。
RAMユーザーまたはRAMロールにクラスターを作成する権限を付与するにはどうすればよいですか。
Alibaba Cloudアカウントを使用して、システムの役割をACKに割り当てます。
サービスにリンクされたロールを割り当てる必要があるのは1回だけです。 権限が付与されているかどうかを確認できない場合は、Alibaba Cloudアカウントを使用してログインし、[Cloud Resource Access Authorization] をクリックして、一度にシステムロールをACKに割り当てます。
ACKのデフォルトのシステムロールの詳細については、「ACKのデフォルトロール」をご参照ください。
Alibaba Cloudアカウントを使用して、カスタムRAMポリシーをRAMユーザーまたはRAMロールにアタッチします。
RAMユーザーまたはRAMロールに
cs:CreateCluster
権限があることを確認します。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。次のYAMLテンプレートはその例です。
{ "Statement": [{ "Action": [ "cs:CreateCluster" ], "Effect": "Allow", "Resource": [ "*" ] }], "Version": "1" }
説明クラスターが作成されると、システムは仮想プライベートクラウド (VPC) などのクラウドリソースをクラスターに関連付けます。 RAMユーザーまたはRAMロールにクラウドリソースへのアクセスに必要な権限が付与されていることを確認します。
RAMユーザーがVPCでList権限を持っていることを確認します。 この権限を付与するには、AliyunVPCReadOnlyAccessポリシーをRAMユーザーにアタッチします。
他のリソースに対する権限を付与する場合は、対応するクラウドサービスに関連するシステムポリシーと権限に関するドキュメントを確認してください。 詳細については、「 RAM での権限付与」をご参照ください。
現在のAlibaba CloudアカウントにACKが依存するサービスロールが割り当てられていないことを示すエラーコードは何ですか。
ACKを使用するときにACKコンソールまたはOpenAPI Explorerプラットフォームに次のエラーコードが表示された場合、現在のAlibaba Cloudアカウントには、ACKが依存するサービスロールが割り当てられていません。 ACKコンソールまたはOpenAPI Explorerプラットフォームにログインし、エラーメッセージのハイパーリンクをクリックするには、AdministratorAccessポリシーがアタッチされているAlibaba CloudアカウントまたはRAMユーザーを使用する必要があります。 表示されるページで、Alibaba CloudアカウントまたはRAMユーザーにロールを割り当てます。
エラーコード | サンプルエラーメッセージ |
ErrManagedKubernetes RoleNotAttach | https://ur.alipay.com/1paTcxSWdAEW70GVH5TZiO でクラスターアドオンのサービスramrole認証を完了してください |
ErrKubernetes AuditRoleNotAttach | https://ur.alipay.com/1paTcxSWdAEW70GVH5TZiO でクラスターアドオンのサービスramrole認証を完了してください |
ErrManagedAddonRoleNotAttach | https://ur.alipay.com/1paTcxSWdAEW70GVH5TZiO でクラスターアドオンのサービスramrole認証を完了してください |
ErrManagedSecurityRoleNotAttach | https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedSecurityRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedSecurityRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でセキュリティのramroleの承認を完了して下さい |
ErrEdgeAddonRoleNotAttach | https://ur.alipay.com/6rpkox1Pb2wPrMupKVLsiL でエッジクラスターアドオンのサービスramrole認証を完了してください |
ErrAutoScalerRoleNotAttach | https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedAutoScalerRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedAutoScalerRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でクラスターアドオンのサービスramrole認証を完了してください |
ErrAcrHelperRoleNotAttach | https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedAcrRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedAcrRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でクラスターアドオンのサービスramrole認証を完了してください |
ErrCostExporterRoleNotAttach | https://ram.console.aliyun.com/role/authorize?request=%7B%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Services%22%3A%5B%7B%22Roles%22%3A%5B%7B%22RoleName%22%3A%22AliyunCSManagedCostRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedCostRole%22%7D%5D%2C%22Service%22%3A%22CS%22%7D%5D%7D でクラスターアドオンのサービスramrole認証を完了してください |
MissingAuth.AliyuncsManagedSecurityRole | https://ram.console.aliyun.com/#/role/authorize?request=%7B%22Requests%22%3A%7B%22request1%22%3A%7B%22RoleName%22%3A%22AliyunCSManagedSecurityRole%22%2C%22TemplateId%22%3A%22AliyunCSManagedSecurityRole%22%7D%7D%2C%22ReturnUrl%22%3A%22https%3A%2F%2Fcs.console.aliyun.com%2F%22%2C%22Service%22%3A%22CS%22%7D でセキュリティのramroleの承認を完了して下さい |
ACKのシステムロールを割り当てるページに移動するにはどうすればよいですか?
ACKに割り当てられているシステムの役割を取り消した場合は、システムの役割を再度ACKに割り当てる必要があります。 詳細については、「手順2: ACKにデフォルトロールを割り当てる」をご参照ください。
Alibaba Cloudアカウントを使用して、システムロールをACKに再割り当てする必要があります。
RAMロールがECSインスタンスから取り消された場合はどうすればよいですか。
Elastic Compute Service (ECS) インスタンスで実行されるアプリケーションがmetadata api 100
にリクエストを送信すると、404エラーまたはMessage:Node condition RAMRoleErrorが現在: True, reason: NodeHasNoRAMRoleエラーメッセージが返されます。 次の方法を使用して、RAMロールをECSインスタンスに再割り当てできます。
RAMロールがECSインスタンスから取り消された場合、RAMロールをECSインスタンスに再度割り当てる必要があります。 詳細については、「インスタンスRAMロールの置き換え」をご参照ください。
ECSインスタンスがクラスター内でマスターノードとして機能する場合、マスターRAMロールをECSインスタンスに割り当てる必要があります。 クラスターの詳細ページに移動し、
を選択します。ECSインスタンスがクラスター内のワーカーノードとして機能する場合、ワーカーRAMロールをECSインスタンスに割り当てる必要があります。 クラスターの詳細ページに移動し、
を選択します。
RAMロールにアタッチされているポリシーの内容を変更した場合は、変更した内容に必要な権限が含まれているかどうかを確認します。
エラーが発生する前にRAMロールにアタッチされているポリシーの内容を変更した場合は、ポリシーを元のバージョンにロールバックしてみてください。
カスタムRAMロールをACKクラスターに割り当てるにはどうすればよいですか?
カスタムRAMロールをACKクラスターに割り当てることはできません。 ただし、ワーカーノードの作成時に自動的に作成され、クラスターに割り当てられるワーカーRAMロールにカスタムRAMポリシーをアタッチできます。
次のコードブロックに基づいてカスタムRAMポリシーを作成します。 コードブロックには、ACKクラスターをスケーリングおよび削除する権限が含まれています。 詳細については、「手順1: カスタムポリシーの作成」をご参照ください。
{ "Action": [ "cs:ScaleCluster", "cs:DeleteCluster" ], "Resource": "*", "Effect": "Allow" }
クラスターで使用されるワーカーRAMロールにRAMポリシーをアタッチします。 詳細については、「カスタムポリシーをワーカーRAMロールにアタッチする」をご参照ください。
関連スタッフが辞任したためにRAMユーザーが削除された後、オンラインワークロードは影響を受けますか?
RAMユーザーを削除した後は、通常どおり、他のRAMユーザーを使用してクラスターを管理できます。 ただし、Alibaba Cloudアカウントを使用して、削除したRAMユーザーに発行されたkubeconfigファイルを取り消す必要があります。 詳細については、「クラスターのkubeconfigファイルの取り消し」をご参照ください。
削除したRAMユーザーに発行されたkubeconfigファイルを取り消す前に、アプリケーションに保存されているkubeconfigファイルを新しいkubeconfigファイルに置き換える必要があります。