Alibaba Cloud アカウントまたは RAM ユーザーを使用してクラスターの kubeconfig ファイルを取り消す方法 - Container Service for Kubernetes

マルチテナントシナリオでは、Container Service for Kubernetes (ACK) は、異なるロールを持つユーザーに ID 情報を含む kubeconfig ファイルに署名して発行します。 kubeconfig ファイルを使用して、ACK クラスタに接続できます。従業員が退職した場合、または発行された kubeconfig ファイルが漏洩した場合、kubeconfig ファイルを取り消して、kubeconfig ファイルを使用してアクセスできるクラスタを保護できます。このトピックでは、Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーを使用して、発行された kubeconfig ファイルを取り消す方法について説明します。

使用上の注意

クラスタの制限

ACK マネージドクラスターまたは ACK 専用クラスターにアクセスするために使用される kubeconfig ファイルを取り消すには、クラスタが 2019 年 10 月 15 日以降に作成されている必要があります。
ACK Serverless クラスターにアクセスするために使用される kubeconfig ファイルを取り消すには、クラスタが 2019 年 9 月 6 日以降に作成されている必要があります。

使用シナリオ

以下のシナリオでは、kubeconfig ファイルを取り消す必要がある場合があります。

Alibaba Cloud アカウントを使用して、Alibaba Cloud アカウントによって管理されている RAM ユーザーの kubeconfig ファイルを取り消します。

RAM ユーザーを使用して、RAM ユーザーの kubeconfig ファイルを取り消します。

クラスタへのアクセスに使用される kubeconfig ファイルを取り消すと、システムは自動的に新しい kubeconfig ファイルをクラスタに割り当てます。

Alibaba Cloud アカウントを使用して、Alibaba Cloud アカウントによって管理されているすべての RAM ユーザーの kubeconfig ファイルを取り消す

重要

Alibaba Cloud アカウントを使用して、Alibaba Cloud アカウントによって管理されている RAM ユーザーまたは RAM ロールの kubeconfig ファイルのみを取り消すことができます。

Alibaba Cloud アカウントを使用して ACK コンソールにログインし、次の手順を実行します。

ACK コンソールにログインします。左側のナビゲーションウィンドウで、[権限付与] をクリックします。
[RAM ユーザー] タブの RAM ユーザーリストで、RAM ユーザーの [KubeConfig 管理] をクリックして、RAM ユーザーによって作成されたクラスタのリストを表示します。次に、[アクション] 列の [KubeConfig ファイルの削除] をクリックし、プロンプトに従って kubeconfig ファイルを取り消します。

RAM ユーザーを使用して、RAM ユーザーの kubeconfig ファイルを取り消す

RAM ユーザーを使用して ACK コンソールにログインし、次の手順を実行します。

重要

kubeconfig ファイルが取り消されると、RAM ユーザーは kubeconfig ファイルを使用して対応するクラスタにアクセスできなくなります。慎重に行ってください。

ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、ターゲットクラスターを見つけ、その名前をクリックします。左側のナビゲーションウィンドウで、[クラスター情報] をクリックします。
[接続情報] タブをクリックし、[KubeConfig の取り消し] をクリックしてから、[OK] をクリックします。

退職した従業員または信頼できないユーザーの kubeconfig ファイルを取り消す

退職した従業員または信頼できないユーザーが使用していた RAM ユーザーまたは RAM ロールを削除するには、まず Alibaba Cloud アカウントを使用して RAM ユーザーまたは RAM ロールの kubeconfig ファイルを取り消す必要があります。 RAM ユーザーまたは RAM ロールのみを削除しても、RAM ユーザーまたは RAM ロールの kubeconfig ファイルのロールベースアクセス制御 (RBAC) 権限は取り消されません。

重要

kubeconfig ファイルを取り消す前に、対応するクラスタ内のアプリケーションが kubeconfig ファイルの権限に依存していないことを確認してください。詳細については、「Alibaba Cloud アカウントを使用して RAM ユーザーの kubeconfig ファイルを取り消す」をご参照ください。

退職した従業員または信頼できないユーザーが使用していた RAM ユーザーを誤って削除したが、kubeconfig ファイルを取り消していない場合は、次の手順を実行します。 RAM ユーザーを削除する前に、RAM ユーザーの kubeconfig ファイルを取り消すことをお勧めします。

クリックして、RAM ユーザーが削除されたときに RAM ユーザーの kubeconfig ファイルを取り消す方法を表示します

RAM ユーザーがごみ箱に入っている場合
1. ごみ箱から RAM ユーザーの基本情報を復元します。 RAM ユーザーの AccessKey ペアを復元する必要はありません。詳細については、「ごみ箱から RAM ユーザーを復元する」をご参照ください。
2. Alibaba Cloud アカウントを使用して、RAM ユーザーによって作成されたすべてのクラスターの kubeconfig ファイルを取り消します。詳細については、「Alibaba Cloud アカウントを使用して RAM ユーザーの kubeconfig ファイルを取り消す」をご参照ください。
3. RAM ユーザーをごみ箱に移動します。詳細については、「RAM ユーザーをごみ箱に移動する」をご参照ください。
RAM ユーザーが完全に削除されている場合: この場合、クラスタ内の RAM ユーザーまたは RAM ロールの ID で始まる RBAC バインディングを手動で削除する必要があります。
1. クラスター管理者として次のコマンドを実行して、クラスタ内のすべての ClusterRoleBinding を表示します。
```
kubectl get clusterrolebinding
```
  ACK の認証モジュールによって発行された ClusterRoleBindings には、xxxxxxx-clusterrolebinding の形式で名前が付けられます。 xxxxxxx は、RAM ユーザーまたは RAM ロールの ID を示します。 ID が 2 で始まる場合、RAM ユーザーバインディングです。 ID が 3 で始まる場合、RAM ロールバインディングです。Container Service for Kubernetes
2. クラスター管理者として次のコマンドを実行して、ACK の認証モジュールによって発行されたすべての RoleBinding を表示します。Container Service for Kubernetes
```
kubectl get rolebinding -A | grep 'cs:ns:'
```
  RoleBindings には、xxxxxxx-yyyyy-rolebinding の形式で名前が付けられます。 xxxxxxx は、RAM ユーザーまたは RAM ロールの ID を示します。 ID が 2 で始まる場合、RAM ユーザーバインディングです。 ID が 3 で始まる場合、RAM ロールバインディングです。
3. 2 で始まる RAM ユーザーバインディングの場合、RAM コンソールにログインします。 [ユーザー] ページで、RAM ユーザー ID を検索して、RAM ユーザーが存在するかどうかを確認します。 RAM ユーザーが見つからない場合は、バインディングを削除する必要があります。
4. 3 で始まる RAM ロールバインディングの場合、ListRoles API 操作を呼び出して、使用中の RAM ロールの ID を表示します。返されたリストに RAM ロールの ID が存在しない場合は、バインディングを削除する必要があります。
5. RBAC バインディングを削除するには、kubectl delete clusterrolebinding xxxxxxx-clusterrolebinding コマンドまたは kubectl delete rolebinding xxxxxxx-yyyyy-rolebinding -n zzzz コマンドを実行します。 zzzz は、RoleBindings の名前空間を示します。