デフォルトでは、Resource Access Management (RAM) ユーザーはクラウドサービス API にアクセスできません。 RAM ユーザーまたは RAM ロールを介して Distributed Cloud Container Platform for Kubernetes (ACK One) を使用するには、フリートインスタンスの作成、クラスタの関連付け、ワークフロークラスタのプロビジョニングなど、特定の操作に対する操作権限を付与する必要があります。 ACK One は、グローバルな読み取りおよび書き込み権限を制御するためのデフォルトのシステム権限ポリシーを提供します。 このトピックでは、RAM ユーザーまたは RAM ロールにシステム権限ポリシーをアタッチする方法について説明します。
使用上の注意
Alibaba Cloud アカウントまたは RAM 管理者アカウント を使用して、RAM ユーザーまたは RAM ロールに権限を付与する必要があります。 RAM ユーザーを使用して権限を付与することはできません。
ACK One でサポートされているシステム権限ポリシー
RAM システムポリシー | 権限 | 関連するクラスタ | ||
登録済みクラスタ | フリートインスタンス | ワークフロークラスタ | ||
AliyunAdcpFullAccess | すべての ACK One リソースに対する読み取りおよび書き込み権限を提供します。 | はい | はい | はい |
AliyunAdcpReadOnlyAccess | すべての ACK One リソースに対する読み取り専用権限を提供します。 | はい | はい | はい |
AliyunCSFullAccess | すべての Container Service for Kubernetes (ACK) リソースに対する読み取りおよび書き込み権限を提供します。 | はい | はい | いいえ |
AliyunCSReadOnlyAccess | すべての ACK リソースに対する読み取り専用権限を提供します。 | はい | はい | いいえ |
AliyunVPCReadOnlyAccess | 作成される ACK クラスタに仮想プライベートクラウド (VPC) を指定するための権限を提供します。 | はい | はい | はい |
AliyunECIReadOnlyAccess | ポッドをエラスティックコンテナインスタンスにスケジュールするための権限を提供します。 | はい | はい | はい |
AliyunLogReadOnlyAccess | 作成される ACK クラスタのログを保存するために既存のログプロジェクトを選択したり、ACK クラスタの構成検査情報を表示したりするための権限を提供します。 | はい | はい | はい |
AliyunARMSReadOnlyAccess | ACK クラスタ内の Managed Service for Prometheus プラグインのモニタリングデータを表示するための権限を提供します。 | はい | はい | はい |
AliyunRAMReadOnlyAccess | 既存の RAM ポリシーを表示するための権限を提供します。 | はい | はい | はい |
AliyunECSReadOnlyAccess | クラウド内の既存のノードを ACK クラスタに追加したり、ノードの詳細を表示したりするための権限を提供します。 | はい | いいえ | いいえ |
AliyunContainerRegistryReadOnlyAccess | Alibaba Cloud アカウント内のアプリケーションイメージを表示するための権限を提供します。 | はい | いいえ | いいえ |
AliyunAHASReadOnlyAccess | クラスタートポロジー機能を使用するための権限を提供します。 | はい | いいえ | いいえ |
AliyunYundunSASReadOnlyAccess | ACK クラスタのランタイムモニタリングデータを表示するための権限を提供します。 | はい | いいえ | いいえ |
AliyunKMSReadOnlyAccess | ACK クラスタを作成するときに Secret 暗号化機能を有効にするための権限を提供します。 | はい | いいえ | いいえ |
AliyunESSReadOnlyAccess | クラウドでノードプール関連の操作を実行するための権限を提供します。たとえば、ノードプールを表示、変更、スケーリングするための権限です。 | はい | いいえ | いいえ |
RAM ユーザーまたは RAM ロールに権限を付与する
RAM 管理者として RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、権限を追加[操作] 列の をクリックします。
複数の RAM ユーザーを選択し、ページ下部の [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
[リソーススコープ] パラメーターを構成します。
[アカウント]:権限付与は現在の Alibaba Cloud アカウントに適用されます。
[リソースグループ]:権限付与は特定のリソースグループに適用されます。
重要リソーススコープパラメーターで [リソースグループ] を選択した場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパルパラメーターを構成します。
プリンシパルとは、権限を付与する RAM ユーザーのことです。 現在の RAM ユーザーが自動的に選択されます。
ポリシーパラメーターを構成します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー:Alibaba Cloud によって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は Alibaba Cloud によって維持されます。 詳細については、「RAM で動作するサービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして不要な権限を付与しないことをお勧めします。
カスタムポリシー:ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーの作成、更新、削除ができます。 詳細については、「カスタムポリシーを作成する」をご参照ください。
[権限の付与] をクリックします。
関連情報
RAM システム権限ポリシーを使用して、ACK One リソースの権限のみを制御できます。 RAM ユーザーまたは RAM ロールが、GitOps アプリケーションやワークフローの作成など、指定されたクラスタ内の Kubernetes リソースを管理する必要がある場合は、ACK One フリートインスタンス、ワークフロークラスタ、およびそれらの名前空間に、RAM ユーザーまたは RAM ロールにロールベースのアクセス制御 (RBAC) 権限を付与する必要があります。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。