Container Service for Kubernetes (ACK) コンソールは、DescribeKubernetes VersionMetadata操作をサポートしています。 ACKコンソールは、ACKでサポートされているKubernetesバージョンを含むグローバル情報を取得するには、DescribeKubernetes VersionMetadata操作を呼び出す必要があります。DescribeKubernetes VersionMetadata操作を呼び出すために必要な権限を使用するResource Access Management (RAM) ユーザーまたはRAMロールに付与する必要があります。 それ以外の場合、RAMユーザーまたはロールを使用してDescribeKubernetes VersionMetadata操作を呼び出すことはできません。
影響
次のいずれかの条件を満たすRAMユーザーまたはRAMロールでACKコンソールにログインした場合:
- RAMユーザーまたはRAMロールにアタッチされているRAMポリシーの
resourceフィールドでクラスターが指定されています。 これは、RAMユーザーまたはRAMロールを使用して、指定されたクラスターでのみRAMポリシーのcsフィールドで指定されたAPI操作を呼び出すことができることを示します。 - アタッチされたRAMポリシーの
csフィールドを設定すると、RAMユーザーまたはRAMロールに、指定されたリソースグループ内のクラスターを管理するためのACKのすべてのAPI操作を呼び出す権限が付与されます。 リソースグループは、Alibaba Cloudアカウントに属する特定のクラスターのみを管理します。
ACKコンソールは、クラスターを作成するか、ACKコンソールの [ノードプール] ページに移動すると、次のRAMポリシーForbiddenエラーを表示します。 これは、RAMユーザーまたはRAMロールに、Alibaba Cloudアカウントに属するすべてのクラスターのcsフィールドで指定されたDescribeKubernetes VersionMetadata操作を呼び出す権限がないためです。
RAMポリシーForbidden for action cs:DescribeKubernetes VersionMetadataRAMポリシーの変更
上記の問題を解決するには、権限管理者に連絡して、次の内容に基づいてRAMユーザーまたはRAMロールにアタッチされているRAMポリシーを変更します。詳細については、「カスタムポリシーのドキュメントと説明の変更」をご参照ください。
{
"Statement": [
{
"Action": [
"cs:DescribeKubernetes VersionMetadata"
],
"Effect": "Allow",
"リソース": [
"*"
]
}
],
"バージョン": "1"
}