2023年1月30日より、Container Service for Kubernetes (ACK) は、ACK Proクラスターでシークレット暗号化機能を使用する際に、権限を確認します。 ACK Proクラスターのシークレット暗号化を有効または無効にするには、使用するRAM (Resource Access Management) ユーザーまたはRAMロールに必要なRAM権限があり、事前定義されたロールベースのアクセス制御 (RBAC) 管理者ロールまたはO&Mエンジニアロールが割り当てられている必要があります。
影響
RAMユーザーまたはRAMロールを使用してACK ProクラスターのSecret暗号化を有効または無効にする場合、RAMユーザーまたはRAMロールは次の要件を満たす必要があります。
RAMユーザーまたはRAMロールにアタッチされているRAMポリシーは、cs:UpdateKMSEncryption権限を提供する必要があります。
RAMユーザーまたはRAMロールには、ACK Proクラスターで定義済みのRBAC管理者ロールまたはO&Mエンジニアロールが割り当てられます。
この要件が有効になる前に、ACK ProクラスターのSecret暗号化を有効または無効にできます。 要件が有効になった後、使用するRAMユーザーまたはRAMロールが権限要件を満たしていない場合、ACK ProクラスターのSecret暗号化を有効または無効にできない場合があります。 ACKコンソールに次のエラーが表示された場合は、RAMユーザーまたはRAMロールに必要な権限を付与する必要があります。
RAMポリシーForbidden for action cs:UpdateKMSEncryptionエラーが表示された場合は、「RAMユーザーまたはRAMロールにアタッチされているRAMポリシーの変更」をご参照ください。
Forbidden update kmsクラスター、この操作には少なくともエラーが表示されます。「RAMユーザーまたはRAMロールに必要なrbacロールを割り当てる」をご参照ください。
RAMユーザーまたはRAMロールにアタッチされているRAMポリシーの変更
RAMユーザーまたはRAMロールにアタッチされているRAMポリシーに次の内容を追加します。 詳細については、「カスタムポリシーのドキュメントと説明の変更」をご参照ください。
{
"Action": [
"cs:UpdateKMSEncryption"
],
"Effect": "Allow",
"Resource": [
"*"
]
}必要なRBACロールをRAMユーザーまたはRAMロールに割り当てる
ACK Proクラスター内のすべての名前空間へのアクセスを許可する定義済みのRBAC管理者ロールまたはO&MエンジニアロールをRAMユーザーまたはRAMロールに割り当てます。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。