Container Service for Kubernetes (ACK) コンソールは、CheckServiceRole APIを呼び出して、RAM (Resource Access Management) ユーザーまたはRAMロールがACKクラスターまたはコンポーネントの依存サービスへのアクセスを許可されているかどうかを確認できます。 RAMロールまたはRAMロールを使用してACKコンソールにアクセスするときにCheckServiceRole認証エラーが発生した場合に備えて、Alibaba Cloudアカウントを使用してRAMユーザーまたはRAMロールにアクセス許可を付与することを推奨します。
影響
RAMユーザーまたはRAMロールを使用してACKコンソールにログインし、RAMユーザーまたはRAMロールに次の権限がある場合に影響を受けます。
RAMユーザーまたはRAMロールにアタッチされているRAMポリシーの
resourceフィールドでクラスターが指定されています。 これは、RAMユーザーまたはRAMロールを使用して、指定されたクラスターでのみRAMポリシーのcsフィールドで指定されたAPI操作を呼び出すことができることを示します。アタッチされたRAMポリシーの
csフィールドを設定すると、RAMユーザーまたはRAMロールに、指定されたリソースグループ内のクラスターを管理するためのACKのすべてのAPI操作を呼び出す権限が付与されます。 リソースグループは、Alibaba Cloudアカウントに属する特定のクラスターのみを管理します。
CheckServiceRole API操作には、グローバルcsリソースへのアクセス許可が必要です。 RAMユーザーまたはRAMロールを使用してACKコンソールにログインし、クラスターを作成したり、ノードプールを管理したりすると、ステータスコードStatusForbiddenが表示されます。これは、権限不足のためにcs:CheckServiceRole認証が失敗したことを示しています。
RAMポリシーの変更
上記の問題が発生した場合は、権限管理者に連絡して、RAMユーザーまたはRAMロールにアタッチされているRAMポリシーに次の内容を追加します。 詳細については、「カスタムポリシーのドキュメントと説明の変更」をご参照ください。
{
"Statement": [
{
"Action": [
"cs:CheckServiceRole"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
],
"バージョン": "1"
}