ロールベースのアクセス制御 (RBAC) は、ユーザーのロールに基づいてリソースへのアクセスを規制します。 クラスターロールに複数の権限を付与し、ロールごとに異なる権限ポリシーを設定できます。 これにより、アカウントのセキュリティが向上します。 Resource Access Management (RAM) ユーザーまたはRAMロールにRBAC権限を付与して、RAMユーザーまたはRAMロールによって作成されていないContainer Service for Kubernetes (ACK) クラスター内のKubernetesリソースへのアクセスを許可することができます。
目次
設定
設定アイテム | 説明 |
既定のアクセス許可 |
|
権限の付与方法 |
説明 RAMユーザーまたはRAMロールに権限を付与する前に、RAMユーザーまたはRAMロールにRAMコンソールで指定したクラスターに対する読み取り専用権限が付与されていることを確認してください。 |
承認モデル | 一度に1人以上のRAMユーザーまたはRAMロールに権限を付与できます。 |
データのセキュリティを確保するために、ACKコンソールでRAMユーザーまたはRAMロールにアタッチされているRAMポリシーを変更することはできません。 権限付与ページの手順を読み、RAMコンソールにログインしてから、RAMポリシーを変更する必要があります。
RAMユーザーまたはRAMロールにRBAC権限を付与する
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[権限付与] をクリックします。
承認ページ、権限を付与します。
RAM ユーザーへの権限付与
[RAMユーザー] タブをクリックします。 RAMユーザーリストで、管理するRAMユーザーを見つけ、[操作] 列の [権限の変更] をクリックします。 [権限管理] パネルが表示されます。
RAMロールに権限を付与する
[RAMロール] タブをクリックし、[RAMロール名] パラメーターを設定し、[権限の変更] をクリックします。 権限管理パネルが表示されます。
説明RAMユーザーまたはRAMロールを使用して他のRAMユーザーまたはRAMロールに権限を付与する場合は、管理するクラスターでRAMユーザーまたはRAMロールにRAM権限が付与されていることを確認します。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。 さらに、RAMユーザーまたはRAMロールには、クラスターの管理者ロールまたはクラスター管理者ロールを割り当てる必要があります。
クリック権限の追加を設定し、クラスター,名前空間、およびRAMユーザーまたはRAMロールの権限管理パラメーターをクリックし、送信.
説明ACKは、管理者、O&Mエンジニア、開発者、および制限付きユーザーの定義済みロールを提供します。 これらのロールを使用して、ほとんどのシナリオでACKコンソールのリソースへのアクセスを規制できます。 カスタムロールを使用して、ビジネス要件に基づいてクラスターの権限を定義することもできます。
クラスターまたは名前空間の1つの定義済みロールと複数のカスタムロールをRAMユーザーまたはRAMロールに割り当てることができます。
新しく作成したクラスターを含むすべてのクラスターを管理するためにRAMユーザーまたはRAMロールを許可する場合は、RAMユーザーまたはRAMロールに定義済みロールを割り当てるときに、[クラスター] 列の [すべてのクラスター] を選択します。
RAMユーザーまたはRAMロールを使用して、他のRAMユーザーまたはRAMロールにRBAC権限を付与する
デフォルトでは、RAMユーザーまたはRAMロールを使用して、他のRAMユーザーまたはRAMロールにRBAC権限を付与することはできません。 RAMユーザーまたはRAMロールを使用して他のRAMユーザーまたはRAMロールにRBAC権限を付与する場合は、まずAlibaba Cloudアカウントまたはすべてのクラスターの管理者ロールが割り当てられているRAMユーザーを使用して、RAMユーザーまたはRAMロールに必要な権限を付与する必要があります。
RAM権限
RAMユーザーまたはRAMロールにRAMポリシーをアタッチする必要があります。 RAMポリシーは、次の権限を提供する必要があります。
同じAlibaba Cloudアカウントに属する他のRAMユーザーを表示する権限。
RAMポリシーを他のRAMユーザーまたはRAMロールにアタッチする権限。
ACKクラスターに関する情報を表示するための権限。
RBACロールの権限を表示するための権限。
RBACロールを他のRAMユーザーまたはRAMロールに割り当てる権限。
RAMコンソールにログインし、次のサンプルコードを使用して、RAMユーザーまたはRAMロールに必要な権限を付与します。 詳細については、「カスタムRAMポリシーの作成」をご参照ください。
xxxxxx
を、RAMユーザーまたはRAMロールを他のRAMユーザーまたはRAMロールにアタッチする権限を付与するRAMポリシーの名前に置き換えます。 xxxxxxをアスタリスク (*) に置き換えた場合、RAMユーザーまたはRAMロールは、すべてのRAMポリシーを他のRAMユーザーまたはRAMロールにアタッチする権限が付与されます。
{
"Statement": [{
"Action": [
"ram:Get*",
"ram:List*",
"cs:Get*",
"cs:Describe*",
"cs:List*",
"cs:GrantPermission"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ram:AttachPolicyToUser",
"ram:AttachPolicy"
],
"Effect": "Allow",
"Resource": [
"acs:ram:*:*:policy/xxxxxx",
"acs:*:*:*:user/*"
]
}
],
"Version": "1"
}
RAMポリシーがRAMユーザーまたはRAMロールにアタッチされた後、RAMユーザーまたはRAMロールを使用して、指定されたRAMポリシーを他のRAMユーザーまたはRAMロールにアタッチできます。
RBAC の権限
上記のRAMポリシーをRAMユーザーまたはRAMロールにアタッチした後、Administratorまたはcluster-adminロールをRAMユーザーまたはRAMロールに割り当てて、指定したクラスターまたは名前空間へのアクセスを許可する必要があります。 詳細については、このトピックの「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
RAMユーザーまたはRAMロールを権限管理者として設定する
Alibaba Cloudアカウントを使用してRAMユーザーまたはRAMロールにRBACロールを割り当てない場合は、RAMユーザーまたはRAMロールを権限管理者として設定し、RAMユーザーまたはRAMロールを使用して他のRAMユーザーまたはRAMロールに権限を付与できます。
にログインします。RAMコンソール権限管理者として設定するRAMユーザーまたはRAMロールを見つけます。
RAM ユーザー
RAMコンソールの左側のナビゲーションウィンドウで、
を選択します。 使用するRAMユーザーを見つけて、[操作] 列の [権限の追加] をクリックします。RAM ロール
RAMコンソールの左側のナビゲーションウィンドウで、
を選択します。 使用するRAMロールを見つけて、[操作] 列の [権限の付与] をクリックします。
[権限付与] パネルで、[リソーススコープ] パラメーターを設定し、ドロップダウンリストから [システムポリシー] を選択し、AliyunRAMReadOnlyAccessおよびAliyunCSFullAccessシステムポリシーを見つけてクリックし、右側の [選択したポリシー] セクションに追加し、[権限付与] をクリックします。 ポリシーがアタッチされたら、[閉じる] をクリックします。
にログインします。ACKコンソールAlibaba Cloudアカウントを使用して、管理者すべてのクラスターのロールをRAMユーザーまたはRAMロールに割り当てます。
詳細については、このトピックの「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
上記の手順が完了すると、RAMユーザーまたはRAMロールが権限管理者として設定されます。 RAMユーザーまたはRAMロールを使用して、他のRAMユーザーまたはRAMロールにRAM権限とRBAC権限を付与できます。
不十分な権限のエラーコード
ACKコンソールを使用するとき、またはACK APIを呼び出して操作を実行するときに必要なアクセス許可がない場合、コンソールまたはAPIは必要なアクセス許可を示すエラーコードを返します。 次の表に、クラスターで必要なRBAC権限を示すエラーコードを示します。
エラーコードまたはエラーメッセージ | クラスターに必要なRBAC権限 |
ForbiddenCheckControlPlaneLog | 管理者またはO&Mエンジニアの権限 |
ForbiddenHelmUsage | 管理者権限 |
ForbiddenRotateCert | 管理者権限 |
ForbiddenAttachInstance | 管理者またはO&Mエンジニアの権限 |
ForbiddenUpdateKMSState | 管理者またはO&Mエンジニアの権限 |
禁断の取得トリガー | 管理者、O&Mエンジニア、または開発者の権限 |
ForbiddenQueryClusterNamespace | 管理者、O&Mエンジニア、開発者、または制限付きユーザーの権限 |
関連ドキュメント
ACKの認証システムの詳細については、「認証のベストプラクティス」をご参照ください。
ACKロールの詳細については、「ACKロール」をご参照ください。
権限付与に関連する問題の詳細については、「権限付与管理に関するFAQ」をご参照ください。