在常見的多租情境下,Container Service for Kubernetes會為不同使用者角色簽髮帶有其身份資訊的KubeConfig憑證用於串連叢集。當企業內部員工離職或是某簽發KubeConfig疑似泄露等情況發生時,吊銷該叢集的KubeConfig可有效保障叢集的安全。本文介紹阿里雲帳號(主帳號)或RAM使用者如何吊銷已經分發的使用者KubeConfig憑證。
使用須知
叢集限制
吊銷KubeConfig憑證的叢集為ACK託管叢集或ACK專有叢集時,叢集建立時間需為2019年10月15日之後。
吊銷KubeConfig憑證的叢集為ACK Serverless叢集時,叢集建立時間需為2019年09月06日之後。
使用情境
吊銷KubeConfig憑證包含以下兩種情境:
阿里雲帳號(主帳號)吊銷其管理範圍內(其所有RAM使用者)的KubeConfig憑證。
RAM使用者吊銷自身的KubeConfig憑證。
吊銷叢集的KubeConfig憑證後,系統會自動分配新的KubeConfig憑證。
阿里雲帳號(主帳號)吊銷其RAM使用者的KubeConfig憑證
僅支援阿里雲帳號(主帳號)吊銷其他RAM使用者或RAM角色的KubeConfig憑證。
您可以使用阿里雲帳號(主帳號)登入控制台,進行如下操作。
登入Container Service管理主控台,在左側導覽列選擇授權管理。
在子帳號頁簽的使用者列表,單擊目標RAM用對應的管理KubeConfig,擷取該RAM使用者建立的叢集列表,然後按照對話方塊提示完成目的地組群的吊銷操作。
RAM使用者吊銷自身的KubeConfig憑證
您可以使用RAM使用者登入控制台,進行如下操作。
吊銷KubeConfig後,對應RAM使用者無法再使用原KuberConfig串連叢集。請謹慎操作。
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇叢集資訊。
單擊串連資訊頁簽,然後單擊紅色按鈕吊銷 KubeConfig,然後單擊確定。
吊銷離職員工或非受信使用者的KubeConfig憑證
對於離職員工或非受信使用者,請您務必先使用阿里雲帳號(主帳號)吊銷離職使用者的KubeConfig許可權,然後再刪除對應的RAM使用者或RAM角色。因為僅刪除RAM使用者或RAM角色並不會同步刪除該使用者或角色擁有的叢集KubeConfig中的RBAC許可權。
請您在刪除RAM使用者帳號之前,並確保其在指定叢集的KubeConfig沒有業務依賴的情況下,吊銷離職員工或非受信使用者的KubeConfig許可權。具體操作,請參見阿里雲帳號(主帳號)吊銷其RAM使用者的KubeConfig憑證。
(不推薦)若離職員工或非受信使用者的RAM使用者帳號不小心被刪除,但還未吊銷該帳號的KubeConfig憑證,請根據以下情況操作。