Container Service for Kubernetes (ACK) マネージドクラスターのノードに対するデフォルトの WorkerRolePolicy 権限は広範です。マルチテナントシナリオにおけるマネージドクラスターノードのセキュリティ隔離を強化するため、ACK はマネージドクラスターノードの RAM ロールにアタッチされた権限を収束しました。
ロールの権限付与
収束後、元の RAM ロール権限には、クラスターシステムアドオンコンポーネントが使用するポリシーは含まれなくなりました。代わりに、ACK は各アドオンコンポーネントに専用システムロールを割り当てます。この変更後、ACK コンソールでマネージドクラスターを作成する際、システムはこれらのシステムロールの権限付与を促します。ご利用の Alibaba Cloud アカウント (root ユーザー) または AliyunRAMFullAccess または AdministratorAccess 権限を持つ RAM ユーザーを使用してください。[RAM コンソールへ] をクリックします。
説明 OpenAPI を使用してクラスターを作成する場合は、権限付与リンクを使用して権限付与してください。
バッチ権限付与ページの下部で、許可する をクリックします。その後、Container Service 管理コンソール に再度サインインして、クラスターを作成します。
このバッチ権限付与により、クラスターアドオンコンポーネントからの OpenAPI 呼び出しをサポートする以下のシステムロールが付与されます。
- AliyunCSManagedLogRole
- AliyunCSManagedCmsRole
- AliyunCSManagedCsiRole
- AliyunCSManagedVKRole
- AliyunCSManagedNetworkRole
- AliyunCSManagedArmsRole
収束されたデフォルトの WorkerRole RAM ポリシーは次のように定義されています。
{
"Version": "1",
"Statement": [{
"Action": [
"ecs:DescribeInstanceAttribute",
"ecs:DescribeInstanceTypesNew",
"ecs:DescribeInstances"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"log:GetProject",
"log:GetLogStore",
"log:GetConfig",
"log:GetMachineGroup",
"log:GetAppliedMachineGroups",
"log:GetAppliedConfigs",
"log:GetIndex",
"log:GetSavedSearch",
"log:GetDashboard",
"log:GetJob"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"cr:GetAuthorizationToken",
"cr:ListInstanceEndpoint",
"cr:PullRepository"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}