マルチテナントシナリオでは、Alibaba Cloud Container Compute Service (ACS)は、異なるロールを持つユーザーにID情報を含むkubeconfigファイルに署名して発行します。 kubeconfigファイルを使用して、ACSクラスターに接続できます。従業員が退職した場合、または発行されたkubeconfigファイルが漏洩した場合、kubeconfigファイルを取り消して、クラスターがkubeconfigファイルを使用することを保護できます。このトピックでは、Alibaba CloudアカウントまたはResource Access Management (RAM)ユーザーを使用して、発行されたkubeconfigファイルを取り消す方法について説明します。
使用上の注意
以下のシナリオでは、kubeconfigファイルを取り消す必要がある場合があります。
Alibaba Cloudアカウントを使用して、Alibaba Cloudアカウントによって管理されているすべてのRAMユーザーのkubeconfigファイルを取り消します。
RAMユーザーを使用して、RAMユーザーのkubeconfigファイルを取り消します。
クラスターへのアクセスに使用されるkubeconfigファイルを取り消すと、システムは自動的にクラスターに新しいkubeconfigファイルを割り当てます。
Alibaba Cloudアカウントを使用して、Alibaba Cloudアカウントによって管理されているすべてのRAMユーザーのkubeconfigファイルを取り消す
Alibaba Cloudアカウントを使用して、Alibaba Cloudアカウントによって管理されているRAMユーザーまたはRAMロールのkubeconfigファイルのみを取り消すことができます。
Alibaba Cloudアカウントを使用してACSコンソールにログオンし、次の手順を実行します。
ACSコンソールにログオンします。左側のナビゲーションペインで、権限管理をクリックします。
RAMユーザータブのユーザー名リストで、RAMユーザーのKubeconfig管理をクリックして、RAMユーザーによって作成されたクラスターのリストを表示します。次に、指示に従ってkubeconfigファイルを取り消します。
RAMユーザーを使用してRAMユーザーのkubeconfigファイルを取り消す
RAMユーザーを使用してACSコンソールにログオンし、次の手順を実行します。
kubeconfigファイルが取り消されると、RAMユーザーはkubeconfigファイルを使用して対応するクラスターにアクセスできなくなります。注意して進めてください。
ACSコンソールにログオンします。左側のナビゲーションペインで、クラスターをクリックします。
クラスターページで、管理するクラスターを見つけ、その名前をクリックします。クラスターの詳細ページの左側のナビゲーションペインで、クラスター情報をクリックします。
接続情報タブをクリックし、Kubeconfigの取り消しをクリックし、OKをクリックします。
退職した従業員または信頼できないユーザーのkubeconfigファイルを取り消す
退職した従業員または信頼できないユーザーが使用していたRAMユーザーまたはRAMロールを削除するには、まずAlibaba Cloudアカウントを使用して、RAMユーザーまたはRAMロールのkubeconfigファイルを取り消す必要があります。 RAMユーザーまたはRAMロールのみを削除しても、RAMユーザーまたはRAMロールのkubeconfigファイルのロールベースアクセス制御(RBAC)権限は取り消されません。
退職した従業員または信頼できないユーザーのkubeconfigファイルを取り消す前に、対応するクラスター内のアプリケーションがkubeconfigファイルの権限に依存していないことを確認してから、RAMユーザーを削除してください。詳細については、Alibaba Cloudアカウントを使用して、Alibaba Cloudアカウントによって管理されているすべてのRAMユーザーのkubeconfigファイルを取り消すを参照してください。