デフォルトでは、Container Service for Kubernetes (ACK) 管理クラスターのワーカーRAMロールには制限付きの権限が付与されます。 2023年7月17日以降、ノードのセキュリティを強化するために、ACK管理クラスターのワーカーRAMロールに付与された権限が取り消されます。
影響を受けるバージョン
2023年7月17日から作成され、バージョン1.22.15-aliyun.1以降のACK標準クラスターとACK Proクラスターを含むACK管理クラスター。
次のクラスターは影響を受けません。
2023年7月17日より前に作成されたクラスター。
バージョンが1.22.15より前のクラスター-aliyun.1。
Alibaba Cloudアカウントによって作成された、この更新の対象外のクラスター。
影響
更新前に、ACK管理クラスターのワーカーRAMロールには、デフォルトで制限された権限が付与されます。
更新後、デフォルトでは、新しく作成されたACK管理クラスターのワーカーRAMロールに権限は付与されません。
アプリケーションがACKクラスターからOpenAPI Explorerにアクセスする必要がある場合は、サービスアカウントのRAMロール (RRSA) 機能を使用して、OpenAPI Explorerにアクセスするための資格情報を取得することを推奨します。 詳細については、「RRSAを使用して異なるポッドに異なるクラウドサービスへのアクセスを許可する」をご参照ください。
アプリケーションがワーカーRAMロールに依存している場合は、アプリケーションで必要なアクセス許可をワーカーRAMロールに手動で付与する必要があります。 詳細については、このトピックの「ワーカーRAMロールへの権限の付与」をご参照ください。
新しく作成したクラスターにaliyun-acr-credential-helperコンポーネントをインストールする場合は、必ず最新バージョンのコンポーネントをインストールしてください。
ワーカーRAMロールに権限を付与する
ステップ1: カスタムポリシーの作成
カスタムポリシーの作成方法の詳細については、「カスタムポリシーの作成」をご参照ください。
手順2: カスタムポリシーをワーカーRAMロールにアタッチする
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、管理するクラスターの名前をクリックします。
表示されるページで、[基本情報] タブをクリックします。 [基本情報] タブで、[Worker RAMロール] フィールドの横にあるハイパーリンクをクリックして、RAMコンソールにログインします。
[権限] タブで、[権限の付与] をクリックします。 [権限付与] パネルの [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、前の手順で作成したカスタムポリシーを選択します。
クリック権限の付与.
クリック閉じる.