デフォルトでは、Resource Access Management (RAM) ユーザーには、Alibaba CloudサービスのAPIを呼び出す権限がありません。 RAMユーザーとして、またはRAMロールを引き受けて、Distributed Cloud Container Platform for Kubernetes (ACK One) を使用する場合は、RAMユーザーまたはRAMロールにACK Oneリソースの管理権限を付与する必要があります。 たとえば、フリートインスタンスの作成、クラスターの関連付け、およびワークフロークラスターの作成権限を付与する必要があります。 ACK Oneは、グローバルな読み取りおよび書き込み権限を制御するデフォルトのシステム権限ポリシーを提供します。 このトピックでは、システム権限ポリシーをRAMユーザーまたはRAMロールにアタッチする方法について説明します。
使用上の注意
Alibaba CloudアカウントまたはRAM管理者アカウントを使用して、RAMユーザーまたはRAMロールに権限を付与する必要があります。 RAMユーザーを使用して権限を付与することはできません。
ACK Oneがサポートするシステム権限ポリシー
RAMシステムポリシー | 権限 | クラスター関連 | ||
登録済みクラスター | フリートインスタンス | ワークフロークラスター | ||
AliyunAdcpFullAccess | すべてのACK Oneリソースに対する読み取りおよび書き込み権限を提供します。 | 対象 | 対象 | 対象 |
AliyunAdcpReadOnlyAccess | すべてのACK Oneリソースに対して読み取り専用の権限を提供します。 | 対象 | 対象 | 対象 |
AliyunCSFullAccess | すべてのContainer Service for Kubernetes (ACK) リソースに対する読み取りおよび書き込み権限を提供します。 | 対象 | 必須 | 非対象 |
AliyunCSReadOnlyAccess | すべてのACKリソースに対して読み取り専用の権限を提供します。 | 対象 | 必須 | 非対象 |
AliyunVPCReadOnlyAccess | 作成するACKクラスターの仮想プライベートクラウド (VPC) を指定する権限を提供します。 | 対象 | 対象 | 対象 |
AliyunECIReadOnlyAccess | ポッドをelasticコンテナインスタンスにスケジュールする権限を提供します。 | 対象 | 対象 | 対象 |
AliyunLogReadOnlyAccess | 作成するACKクラスターのログを保存したり、ACKクラスターの構成検査情報を表示したりする既存のログプロジェクトを選択する権限を提供します。 | 対象 | 対象 | 対象 |
AliyunARMSReadOnlyAccess | ACKクラスターのManaged Service for Prometheusプラグインのモニタリングデータを表示する権限を提供します。 | 対象 | 対象 | 対象 |
AliyunRAMReadOnlyAccess | 既存のRAMポリシーを表示する権限を提供します。 | 対象 | 対象 | 対象 |
AliyunECSReadOnlyAccess | クラウド内の既存のノードをACKクラスターに追加したり、ノードの詳細を表示したりする権限を提供します。 | 必須 | 任意 | 不可 |
AliyunContainerRegistryReadOnlyAccess | Alibaba Cloudアカウント内のアプリケーションイメージを表示する権限を提供します。 | 必須 | 任意 | 不可 |
AliyunAHASReadOnlyAccess | クラスタートポロジ機能を使用するための権限を提供します。 | 必須 | 任意 | 不可 |
AliyunYundunSASReadOnlyAccess | ACKクラスターのランタイムモニタリングデータを表示する権限を提供します。 | 必須 | 任意 | 不可 |
AliyunKMSReadOnlyAccess | ACKクラスターを作成するときにシークレット暗号化機能を有効にする権限を提供します。 | 必須 | 任意 | 不可 |
AliyunESSReadOnlyAccess | ノードプールを表示、変更、スケールする権限など、クラウドでノードプール関連の操作を実行する権限を提供します。 | 必須 | 任意 | 不可 |
RAMユーザーまたはRAMロールへの権限付与
RAMコンソールRAM管理者としてログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
では、権限付与パネルで、RAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
Policyパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
関連ドキュメント
RAMシステムのアクセス許可ポリシーを使用して、ACK Oneリソースのアクセス許可のみを制御できます。 RAMユーザーまたはRAMロールが指定されたクラスター内のKubernetesリソースを管理する必要がある場合 (GitOpsアプリケーションやワークフローの作成など) 、RAMユーザーまたはRAMロールに、ACK One Fleetインスタンス、ワークフロークラスター、およびその名前空間に対するrole-Based Access Control (RBAC) 権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。