ACS 承認のベストプラクティス - Container Compute Service - Alibaba Cloud ドキュメントセンター

Container Compute Service (ACS) の承認システムは、コンピューティングリソースのResource Access Management (RAM) 承認と、ACS クラスタのロールベースアクセス制御 (RBAC) 承認で構成されています。異なるロールを持つユーザーには、異なる権限が必要です。このトピックでは、企業リソース管理者、Kubernetes クラスタ管理者、クラスタおよびアプリケーションの O&M エンジニア、アプリケーション開発者、承認管理者のロールに対する承認のベストプラクティスについて説明します。

ACS 承認システム

ACS の承認システムは、コンピューティングリソースの RAM 承認と、ACS クラスタの RBAC 承認で構成されています。次の図は、ACS 承認システムを示しています。

RAM 承認には、クラスタの O&M 操作が含まれます。ACS クラスタは Container Service for Kubernetes (ACK) Serverless クラスタの一種であり、ACS クラスタで O&M 操作を実行するには、ACK API を呼び出す必要があります。したがって、ACK およびその他の Alibaba Cloud サービスの API 操作を呼び出すための権限を取得する必要があります。これらの API 操作を呼び出して、次の O&M 操作を実行できます。
- クラスタの作成、表示、削除。
- RBAC 承認の管理。
- クラスタの監視とログおよびイベントの管理。
RBAC 承認は、ACS クラスタ内の Kubernetes リソースに対する名前空間レベルまたはクラスタ全体の権限を付与するために使用されます。これにより、次のタイプの Kubernetes リソースを作成、削除、変更、表示するための権限を付与できます。
- ワークロードリソース: Deployment、StatefulSet、Job、CronJob、pod、ReplicaSet、HorizontalPodAutoscaler (HPA) など。
- ネットワークリソース: Service、Ingress、NetworkPolicy など。
- ストレージリソース: 永続ボリューム (PV)、永続ボリュームクレーム (PVC)、StorageClass など。
- Namespace、ConfigMap、Secret。

定義済みシステムポリシー

ACS は、次の定義済みシステムポリシーを提供します。これらを使用して、RAM ユーザーまたは RAM ロールに権限を迅速に付与できます。

重要

システムポリシーの承認範囲は広いです。これらのポリシーは、すべての Container Service for Kubernetes (ACK) および ACS API 操作に対する読み取りまたは書き込み権限を提供する場合があります。注意して進めてください。

システムポリシー	説明
AliyunAccFullAccess	ACS の権限。
AliyunAccReadOnlyAccess	ACS の読み取り権限。
AliyunCSFullAccess	ACK の権限。重要 ACS クラスタを含む、すべての ACK クラスタに対する読み取りおよび書き込み権限。このポリシーを使用する場合は注意して進めてください。
AliyunCSReadOnlyAccess	ACK の読み取り権限。重要 ACS クラスタを含む、すべての ACK クラスタに対する読み取り権限。このポリシーを使用する場合は注意して進めてください。

AliyunAccFullAccess

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "acc:*",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

AliyunAccReadOnlyAccess

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "acc:Describe*", // Describe* で始まるアクション
        "acc:CheckServiceRole" // CheckServiceRole アクション
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

AliyunCSFullAccess

{
    "Version": "1",
    "Statement": [
        {
            "Action": "cs:*", // 全ての cs アクション
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole", // PassRole アクション
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": "cs.aliyuncs.com" // サービスが cs.aliyuncs.com の場合
                }
            }
        }
    ]
}

AliyunCSReadOnlyAccess

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cs:CheckServiceRole", // CheckServiceRole アクション
                "cs:Get*", // Get* で始まるアクション
                "cs:List*", // List* で始まるアクション
                "cs:Describe*" // Describe* で始まるアクション
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

承認のベストプラクティス

RAM ユーザーまたは RAM ロールにクラスタとアプリケーションを管理および保守するための権限を付与するには、RAM 承認と RBAC 承認を順番に実行する必要があります。RBAC 承認を実行する前に、RAM 承認を実行する必要があります。さまざまなシナリオで承認を完了するには、次のトピックを参照してください。

O&M エンジニアに権限を付与するには、シナリオ 1: O&M エンジニアにクラスタとアプリケーションを管理するための権限を付与するを参照してください。
開発者に権限を付与するには、シナリオ 2: 開発者にクラスタとアプリケーションを管理するための権限を付与するを参照してください。
権限管理者に権限を付与するには、シナリオ 3: 承認管理者に RAM ユーザーと RAM ロールの権限を管理するための権限を付与するを参照してください。

シナリオ 1: O&M エンジニアにクラスタとアプリケーションを管理するための権限を付与する

O&M エンジニアには、ACS クラスタを管理および保守するための権限と、ACS クラスタ内のアプリケーションリソースオブジェクトを管理および保守するための権限が必要です。このシナリオでは、RAM 承認と RBAC 承認の両方を実行する必要があります。

RAM 承認

AliyunCSFullAccess および AliyunCSReadOnlyAccess RAM ポリシーを使用して、ACK 関連の権限を付与できます:

AliyunCSFullAccess は、ACK のすべての API 操作を呼び出すための権限を提供します。
AliyunCSReadOnlyAccess は、読み取り専用アクセスのための ACK の API 操作を呼び出すための権限を提供します。
重要
上記のポリシーは、ACS クラスタを含む、すべての ACK クラスタに対する権限を提供します。注意して進めてください。

RAM コンソールで、AliyunCSFullAccess または AliyunCSReadOnlyAccess ポリシーを RAM ユーザーまたは RAM ロールにアタッチできます。詳細については、RAM ユーザーに権限を付与するおよび RAM ロールに権限を付与するを参照してください。

きめ細かいアクセス制御が必要な場合は、カスタムポリシーをアタッチできます。詳細については、RAM ポリシーを RAM ユーザーまたは RAM ロールにアタッチするを参照してください。

この場合、使用する RAM ユーザーまたは RAM ロールに次のポリシーをアタッチできます。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acc:DescribeCommodityStatus", // 商品ステータスの確認
                "acc:CheckServiceRole", // ServiceRole の確認
                "acc:DescribeCloudProducts", // クラウド製品情報の取得
                "acc:DescribeRegions", // リージョン情報の取得
                "acc:DescribeZones", // ゾーン情報の取得
                "acc:GetInstancePrice" // インスタンス価格の取得
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "bssapi:GetPayAsYouGoPrice", // 従量課金制サービスの価格取得
            "Resource": "*"
        },
        {
            "Action": "ecs:DescribePrice", // ECS 価格情報の取得
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ram:GetRole", // ロール情報の取得
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
            "cs:CreateCluster", // クラスタの作成
            "cs:DescribeAddons" // アドオン情報の取得
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "cs:GetClusters", // クラスタ一覧の取得
                "cs:DescribeClustersV1", // クラスタ情報の取得 (V1)
                "cs:DescribeClusterUserKubeconfig", // クラスタの Kubeconfig 取得
                "cs:DescribeClusterResources", // クラスタリソース情報の取得
                "cs:DescribeUserQuota", // ユーザー quota 情報の取得
                "cs:DescribeClusterLogs", // クラスタログの取得
                "cs:ModifyCluster", // クラスタの変更
                "cs:UpgradeCluster", // クラスタのアップグレード
                "cs:GetUpgradeStatus", // アップグレードステータスの取得
                "cs:ResumeUpgradeCluster", // クラスタアップグレードの再開
                "cs:PauseClusterUpgrade", // クラスタアップグレードの一時停止
                "cs:CancelClusterUpgrade", // クラスタアップグレードのキャンセル
                "cs:InstallClusterAddons", // クラスタアドオンのインストール
                "cs:UpgradeClusterAddons", // クラスタアドオンのアップグレード
                "cs:DescribeClusterAddonsUpgradeStatus", // クラスタアドオンのアップグレードステータスの取得
                "cs:UnInstallClusterAddons", // クラスタアドオンのアンインストール
                "cs:DeleteCluster", // クラスタの削除
                "cs:DescribeClusterDetail", // クラスタ詳細情報の取得
                "cs:GetClusterAuditProject", // クラスタ監査プロジェクトの取得
                "cs:DescribeClusterAddonsVersion", // クラスタアドオンバージョンの取得
                "cs:DescribeClusterTasks", // クラスタタスクの取得
                "cs:DescribeClusterEvents", // クラスタイベントの取得
                "cs:DescribeEvents", // イベント情報の取得
                "cs:ListClusterReportSummary", // クラスタレポートサマリーのリスト取得
                "cs:GetClusterBasicInfo", // クラスタ基本情報の取得
                "cs:ListReportTaskRule", // レポートタスクルールのリスト取得
                "cs:CreateReportTaskRule", // レポートタスクルールの作成
                "cs:CreateClusterCheck" // クラスタチェックの作成
            ],
            "Effect": "Allow",
            "Resource": "acs:cs:*:*:cluster/<yourclusterID>" // 指定クラスタに対する操作
        },
        {
            "Action": [
                 "cs:CheckServiceRole", // ServiceRole の確認
                 "cs:DescribeKubernetesVersionMetadata" // Kubernetes バージョンメタデータの取得
            ],
            "Effect": "Allow",
            "Resource": "acs:cs:*:*:cluster/*" // 全てのクラスタに対する操作
        },
        {
            "Action": [
                 "log:ListProject" // プロジェクト一覧の取得
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

<yourclusterID> を管理するクラスタの ID に置き換えます。

ACK API の詳細については、[製品の変更] ACK API はユーザー認証を強化しますおよび関数別の操作リストを参照してください。

RBAC 承認

RAM 承認を実行した後、RAM ユーザーまたは RAM ロールに対して RBAC 承認を実行する必要があります。次の表に、ACK によって提供される定義済み RBAC ロールを示します。

ロール	RBAC 権限
管理者	すべての名前空間のすべてのリソースに対する読み取りおよび書き込み権限。
O&M エンジニア	すべての名前空間のコンソールに表示される Kubernetes リソースに対する読み取りおよび書き込み権限、およびノード、PV、名前空間、クォータに対する読み取り専用権限。
開発者	すべてまたは指定された名前空間のコンソールに表示されるリソースに対する読み取りおよび書き込み権限。
制限付きユーザー	すべてまたは指定された名前空間のコンソールに表示されるリソースに対する読み取り専用権限。

このシナリオでは、ACS コンソールの承認ページに移動し、O&M エンジニア ロールを割り当てて、クラスタと名前空間の権限を付与します。 RBAC

RBAC ロールが割り当てられると、ACS は RAM ユーザーまたは RAM ロールに対してクラスタ内に ClusterRoleBinding を自動的に作成します。次のサンプルコードは、O&M エンジニアロールによって提供される権限を示しています。

O&M エンジニアロールによって提供される権限のサンプルコード

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cs:ops
rules:
- apiGroups: [""] // コア API グループ
  resources:  ["pods", "pods/attach", "pods/exec", "pods/portforward", "pods/proxy"] // Pod と関連リソース
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"] // 許可される操作
  // ... (以下同様)

きめ細かい RBAC アクセス制御が必要な場合は、RBAC 認証の使用を参照し、カスタム ClusterRole を作成します。次に、ACS コンソールの認証ページに移動し、カスタムを選択し、ドロップダウンリストからカスタム ClusterRole を選択します。詳細については、カスタム RBAC ポリシーを参照してください。

シナリオ 2: 開発者にクラスターとアプリケーションを管理するための権限を付与する

開発者は、ACS クラスター内の Kubernetes リソースオブジェクトにアクセスするための権限が必要です。このシナリオでは、RBAC 認証を実行する必要があります。クラウドリソースへのアクセス権限は必要ありません。

重要

RBAC 認証を実行する前に、開発者が指定されたクラスターに対して少なくとも読み取り権限 (RAM 認証) を持っていることを確認してください。リソース "*" を指定すると、RAM ユーザーまたは RAM ロールは、ACS クラスターを含むすべての ACK クラスターでアクションリストの操作を実行する権限を与えられます。認証の範囲と影響を理解していない限り、リソースを * に設定しないでください。

RAM 認証
RAM コンソールにアクセスし、カスタムポリシーを作成します。次に、使用する RAM ユーザーまたは RAM ロールにポリシーをアタッチします。詳細については、RAM ポリシーを RAM ユーザーまたは RAM ロールにアタッチするを参照してください。カスタムポリシーの例:
```
{
  "Statement": [
   {
        "Effect": "Allow",
        "Action": [
            "acc:DescribeCommodityStatus",
            "acc:CheckServiceRole",
            "acc:DescribeCloudProducts",
            "acc:DescribeRegions",
            "acc:DescribeZones",
            "acc:GetInstancePrice"
           ],
            "Resource": "*"
    },
    {
         "Effect": "Allow",
         "Action": "bssapi:GetPayAsYouGoPrice",
         "Resource": "*"
    },
    {
      "Action": [
        "cs:Get*",
        "cs:List*",
        "cs:Describe*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cs:*:*:cluster/<yourclusterID>" // 管理対象のクラスター ID に置き換えます。
      ]
    }
  ],
  "Version": "1"
}
```
<yourclusterID> を管理するクラスターの ID に置き換えます。
説明
ACS クラスターに対する読み取り権限のみを付与するには、このカスタムポリシーの例を使用して ACS クラスターの ARN を指定します。ACK が提供する AliyunCSReadOnlyAccess ポリシーをアタッチしないでください。アタッチすると、RAM ユーザーまたは RAM ロールは、ACS クラスターを除くすべての ACK クラスターに対する読み取り権限を持ちます。

RBAC 認証

ACS コンソールの認証ページにアクセスし、開発者ロールを割り当てて、RAM ユーザーまたは RAM ロールにクラスターと名前空間の権限を付与します。 developer

RBAC ロールが割り当てられると、ACS は RAM ユーザーまたは RAM ロールに対してクラスター内に ClusterRoleBinding を自動的に作成します。次のサンプルコードは、開発者ロールによって提供される権限を示しています。

開発者ロールによって提供される権限のサンプルコード

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cs:ns:dev
rules:
- apiGroups: [""]
  resources:  ["pods", "pods/attach", "pods/exec", "pods/portforward", "pods/proxy"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: [""]
  resources:  ["configmaps", "endpoints", "persistentvolumeclaims", "replicationcontrollers", "replicationcontrollers/scale", "secrets", "serviceaccounts", "services", "services/proxy"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: [""]
  resources:  ["events", "replicationcontrollers/status", "pods/log", "pods/status"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["apps"]
  resources:  ["daemonsets", "deployments", "deployments/rollback", "deployments/scale", "replicasets", "replicasets/scale", "statefulsets"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["autoscaling"]
  resources:  ["horizontalpodautoscalers"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["batch"]
  resources:  ["cronjobs", "jobs"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["extensions"]
  resources:  ["daemonsets", "deployments", "deployments/rollback", "deployments/scale","ingresses","replicasets", "replicasets/scale", "replicationcontrollers/scale"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["networking.k8s.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["servicecatalog.k8s.io"]
  resources:  ["clusterserviceclasses", "clusterserviceplans", "clusterservicebrokers", "serviceinstances", "servicebindings"]
  verbs: ["create", "delete", "get", "list", "patch", "update", "watch"]
- apiGroups: ["servicecatalog.k8s.io"]
  resources:  ["clusterservicebrokers/status", "clusterserviceclasses/status", "clusterserviceplans/status", "serviceinstances/status", "serviceinstances/reference", "servicebindings/status",]
  verbs: ["update"]
- apiGroups: ["alicloud.com"]
  resources:  ["*"]
  verbs: ["create", "delete", "get", "list", "patch", "update", "watch"]
- apiGroups: ["policy"]
  resources:  ["poddisruptionbudgets"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["networking.istio.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["config.istio.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["rbac.istio.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["istio.alibabacloud.com"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["authentication.istio.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["log.alibabacloud.com"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["monitoring.kiali.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["kiali.io"]
  resources:  ["*"]
  verbs: ["create", "delete", "deletecollection", "get", "list", "patch", "update", "watch"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]
- apiGroups: ["serving.knative.dev"]
  resources: ["*"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]
- apiGroups: ["eventing.knative.dev"]
  resources: ["*"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]
- apiGroups: ["messaging.knative.dev"]
  resources: ["*"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]
- apiGroups: ["sources.eventing.knative.dev"]
  resources: ["*"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]
- apiGroups: ["tekton.dev"]
  resources: ["*"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]
- apiGroups: ["alert.alibabacloud.com"]
  resources: ["*"]
  verbs: ["get", "list", "create", "watch", "patch", "update", "delete", "deletecollection"]

シナリオ 2: 開発者にクラスタとアプリケーションを管理するための権限を付与する

権限管理者には、他のRAMユーザーおよびRAMロールのRBAC権限を管理するための権限が必要です。デフォルトでは、RAMユーザーまたはRAMロールを使用して、他のRAMユーザーまたはRAMロールにRBAC権限を付与することはできません。RAMユーザーまたはRAMロールを使用してACSコンソールの承認ページにアクセスするときに、ページに現在のramユーザーは管理権限を持っていません。alibaba Cloudアカウントの所有者または管理者に連絡して権限を取得してください。というメッセージが表示された場合は、RAM承認またはRBAC承認を実行して、必要な権限をRAMユーザーまたはRAMロールに付与する必要があります。

RAM 認証

使用する RAM ユーザーまたは RAM ロールにアタッチされているポリシーに、次の権限を追加する必要があります。

同じ Alibaba Cloud アカウントに属する他の RAM ユーザーまたは RAM ロールを照会する。
RAM ポリシーを RAM ユーザーまたは RAM ロールにアタッチする。
RAM ユーザーまたは RAM ロールの RBAC 権限を照会する。
他の RAM ユーザーまたは RAM ロールに RBAC 権限を付与する。

RAM コンソールにログインし、RAM ユーザーまたは RAM ロールに権限を付与します。詳細については、RAM ポリシーを RAM ユーザーまたは RAM ロールにアタッチするを参照してください。カスタムポリシーの例:

{
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "acc:DescribeCommodityStatus",
            "acc:CheckServiceRole",
            "acc:DescribeCloudProducts",
            "acc:DescribeRegions",
            "acc:DescribeZones",
            "acc:GetInstancePrice"
           ],
            "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "bssapi:GetPayAsYouGoPrice",
         "Resource": "*"
      },
      {
            "Action": [
                "ram:Get*",
                "ram:List*",
                "cs:GetUserPermissions",
                "cs:GetSubUsers",
                "cs:GrantPermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ram:AttachPolicyToUser",
                "ram:AttachPolicyToRole"
            ],
            "Effect": "Allow",
            "Resource":  [
                "acs:ram:*:*:policy/xxxx", // xxxx をアタッチする RAM ポリシーの名前に置き換えます。xxxx をアスタリスク (*) に置き換えると、RAM ユーザーまたは RAM ロールはすべての RAM ポリシーを他の RAM ユーザーにアタッチする権限を与えられます。
                "acs:*:*:*:user/*"
            ]
        }
    ],
    "Version": "1"
}

RBAC 認証
RAM ユーザーまたは RAM ロールに 管理者 ロールまたは cluster-admin カスタムロールを割り当て、ロールがスコープされるクラスターと名前空間を指定する必要があります。
説明
デフォルトでは、Alibaba Cloud アカウントとクラスター所有者には cluster-admin ロールが割り当てられているため、クラスター内のすべての Kubernetes リソースへのフルアクセス権があります。

RAMユーザーまたはRAMロールに対してRAM認証とRBAC認証を実行した後、そのRAMユーザーまたはRAMロールを使用して、指定されたスコープ内で有効になるRBAC権限を他のRAMユーザーまたはRAMロールに付与できます。詳細については、RAMポリシーをRAMユーザーまたはRAMロールにアタッチするを参照してください。

ACS 承認のアクション

パーミッション (アクション)	説明
acc:CheckServiceRole	ACS が他のクラウドリソースにアクセスすることを承認するために、現在のアカウントに対して ServiceRole が作成されているかどうかを確認します。
acc:DescribeCommodityStatus	現在のアカウント内で ACS がアクティブ化されているかどうかを確認します。

パーミッション (アクション)	説明
bssapi:GetPayAsYouGoPrice	従量課金制サービスの単価を照会します。
ram:ListUserBasicInfos	すべての RAM ユーザーの基本情報を照会します。
ram:ListRoles	すべての RAM ロールの基本情報を照会します。

説明

アクションの詳細については、RAM 認証をご参照ください。
このトピックは参照用です。ポリシーを作成する際は、RAM 認証を読み、最小権限の原則に従うことをお勧めします。
クラスター ID を指定せず、認証スコープを * に設定した場合、ACS クラスターを除く ACK クラスターに権限が付与されます。ご注意ください。