根據權限類別型,分布式雲容器平台 ACK One的許可權包括服務角色、RAM權限原則和RBCA許可權。您需要為服務帳號授予對應的許可權,才能正常使用分布式雲容器平台 ACK One的功能。
權限類別型
權限類別型 | 是否必須授權 | 許可權說明 |
僅在第一次使用ACK One服務時需要授權,使用阿里雲帳號(主帳號)或者Resource Access Management員帳號(子帳號)授權一次即可。 | 授權後,ACK One服務才能訪問其他關聯雲端服務資源。 | |
| 授權後,RAM使用者或RAM角色才能使用ACK One的功能。 | |
| 授權後,RAM使用者或RAM角色才能夠對ACK One叢集內的K8s資源進行操作。 |
服務角色
服務角色是某個雲端服務在某些情況下,為了完成自身的某個功能,需要擷取其他雲端服務的存取權限而提供的RAM角色。
例如,在ACK One上建立工作流程叢集後,ACK One服務需要建立彈性容器ECI執行個體運行工作流程。此時,ACK One就需要擁有建立ECI執行個體的相應許可權。
ACK One提供以下服務角色,具體的策略內容,請參見ACK One服務角色策略內容。
角色名稱 | 角色許可權說明 |
AliyunServiceRoleForAdcp |
|
AliyunAdcpServerlessKubernetesRole |
|
AliyunAdcpManagedMseRole |
|
服務角色無需手動建立,您在首次使用ACK One控制台和相關功能時,控制台介面會自動彈出授權提示,您只需要按照提示操作即可完成自動授權。
僅阿里雲帳號(主帳號)或Resource Access Management員帳號可以完成服務角色的自動授權,普通RAM使用者沒有授權操作的許可權。如果您在操作時系統提示許可權不足,請將帳號切換到阿里雲(主帳號)或Resource Access Management員帳號完成授權。
RAM系統權限原則
預設情況下,RAM使用者沒有使用雲端服務OpenAPI的任何許可權,若您通過RAM使用者或RAM角色使用ACK One時,則需要為RAM使用者或RAM角色授予ACK One資源的操作許可權,才能正常使用ACK One的功能。
ACK One提供以下預設系統權限原則,用於指定全域資源的讀寫存取控制,您可以根據業務需求為RAM使用者或RAM角色添加對應的系統策略。
具體授權操作,請參見為RAM使用者或RAM角色授予系統權限原則。
RAM系統權限原則 | 許可權說明 | 叢集是否涉及 | ||
註冊叢集 | 多叢集艦隊 | 工作流程叢集 | ||
AliyunAdcpFullAccess | 當RAM使用者或RAM角色需要ACK One所有資源的讀寫權限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 當RAM使用者或RAM角色需要ACK One所有資源的唯讀許可權。 | 是 | 是 | 是 |
AliyunCSFullAccess | 當RAM使用者或RAM角色需要Container Service產品所有資源的讀寫權限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 當RAM使用者或RAM角色需要Container Service產品所有資源的唯讀許可權。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時選擇指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 當RAM使用者或RAM角色需要將叢集Pod調度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時選擇已有Log Project儲存審計日誌,或查看指定叢集的配置巡檢。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 當RAM使用者或RAM角色需要查看叢集阿里雲Prometheus外掛程式的監控狀態。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 當RAM使用者或RAM角色需要查看已有的權限原則。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 當RAM使用者或RAM角色為叢集添加已有雲上節點或查看節點詳細資料。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 當RAM使用者或RAM角色需要查看阿里雲帳號內的業務鏡像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 當RAM使用者或RAM角色需要使用叢集拓撲功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 當RAM使用者或RAM角色需要查看指定叢集的運行時安全監控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時啟用Secret落盤加密能力。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 當RAM使用者或RAM角色需要執行雲上節點池的相關操作,例如查看、編輯和擴縮容等。 | 是 | 不涉及 | 不涉及 |
RBAC許可權
RAM系統策略僅控制ACK One叢集資源的操作許可權,若RAM使用者或RAM角色需要操作指定叢集內的K8s資源,例如:建立並擷取GitOps Application和Argo Workflow等,還需要擷取指定ACK One叢集及其命名空間的操作許可權即RBAC許可權。
ACK One提供以下預置角色:
多叢集艦隊和工作流程叢集RBAC許可權
RBAC許可權
許可權說明
叢集是否涉及
多叢集艦隊
工作流程叢集
admin(管理員)
具有叢集範圍和所有命名空間下資源的讀寫權限。
是
是
dev(開發人員)
具有所選命名空間下的資源讀寫權限。
是
是
gitops-dev(gitops開發人員)
具有argocd命名空間下應用資源的讀寫權限。
是
不涉及
RBAC許可權所控制的具體資源清單以及授權操作,請參見為RAM使用者或RAM角色授予RBAC許可權。