根據權限類別型,分布式雲容器平台 ACK One的許可權包括服務角色、RAM權限原則和RBAC許可權。您需要為服務帳號授予對應的許可權,才能正常使用分布式雲容器平台 ACK One的功能。本文將為您介紹服務角色、RAM權限原則和RBAC許可權關係,以及如何為服務帳號授予相應許可權。
權限類別型
權限類別型 | 是否必須授權 | 許可權說明 |
首次使用ACK One服務時需要授權,使用阿里雲帳號(主帳號)或者Resource Access Management員帳號(子帳號)授權一次即可。 | 授權後,ACK One服務才能訪問其他關聯雲端服務資源。 | |
RAM使用者或RAM角色必須授權,阿里雲帳號預設擁有許可權,無需額外授權。 | 授權後,RAM使用者或RAM角色才能使用ACK One的功能。 | |
RAM使用者或RAM角色必須授權,阿里雲帳號預設擁有許可權,無需額外授權。 | 授權後,RAM使用者或RAM角色才能對ACK One叢集內的K8s資源進行操作。 |
服務角色
服務角色是雲端服務在特定情況下,為完成功能而擷取其他雲端服務存取權限的RAM角色。
例如,ACK One上建立工作流程叢集後,需要建立彈性容器ECI執行個體運行工作流程,因此需要擁有建立ECI執行個體的相應許可權。
ACK One提供以下服務角色,具體的策略內容請參見ACK One服務角色策略內容。
角色名稱 | 角色許可權說明 |
AliyunCSDefaultRole |
|
AliyunServiceRoleForAdcp |
|
AliyunAdcpServerlessKubernetesRole |
|
AliyunAdcpManagedMseRole |
|
服務角色無需手動建立,首次使用ACK One控制台,介面會自動彈出授權提示,您只需按提示操作即可完成授權。
僅阿里雲帳號(主帳號)或Resource Access Management員帳號可以完成自動授權,普通RAM使用者沒有授權操作的許可權。如果系統提示許可權不足,請將帳號切換到阿里雲(主帳號)或Resource Access Management員帳號完成授權。
RAM系統權限原則
預設情況下,RAM使用者在使用雲端服務的OpenAPI時沒有任何許可權。如果您通過RAM使用者或RAM角色訪問ACK One,需要為其授予相應的操作許可權,以確保正常使用ACK One的功能。ACK One提供了一些預設的系統權限原則,用於控制全域資源的讀寫訪問,您可以根據業務需求為RAM使用者或RAM角色添加相應的系統策略。
具體授權操作,請參見為RAM使用者或RAM角色授予系統權限原則。
RAM系統權限原則 | 許可權說明 | 叢集是否涉及 | ||
註冊叢集 | 多叢集艦隊 | 工作流程叢集 | ||
AliyunAdcpFullAccess | 當RAM使用者或RAM角色需要ACK One所有資源的讀寫權限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 當RAM使用者或RAM角色需要ACK One所有資源的唯讀許可權。 | 是 | 是 | 是 |
AliyunCSFullAccess | 當RAM使用者或RAM角色需要Container Service產品所有資源的讀寫權限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 當RAM使用者或RAM角色需要Container Service產品所有資源的唯讀許可權。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時選擇指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 當RAM使用者或RAM角色需要將叢集Pod調度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時選擇已有Log Project儲存審計日誌,或查看指定叢集的配置巡檢。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 當RAM使用者或RAM角色需要查看叢集阿里雲Prometheus外掛程式的監控狀態。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 當RAM使用者或RAM角色需要查看已有的權限原則。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 當RAM使用者或RAM角色為叢集添加已有雲上節點或查看節點詳細資料。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 當RAM使用者或RAM角色需要查看阿里雲帳號內的業務鏡像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 當RAM使用者或RAM角色需要使用叢集拓撲功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 當RAM使用者或RAM角色需要查看指定叢集的運行時安全監控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時啟用Secret落盤加密功能。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 當RAM使用者或RAM角色需要執行雲上節點池的相關操作,例如查看、編輯和擴縮容等。 | 是 | 不涉及 | 不涉及 |
RBAC許可權
RAM系統策略僅控制ACK One叢集資源的操作許可權,若RAM使用者或RAM角色需要操作指定叢集內的K8s資源,(如建立並擷取GitOps Application和Argo Workflow),還需要擷取指定ACK One叢集及其命名空間的操作許可權即RBAC許可權。
ACK One提供以下預置角色:
多叢集艦隊和工作流程叢集RBAC許可權
RBAC許可權
許可權說明
叢集是否涉及
多叢集艦隊
工作流程叢集
admin(管理員)
具有叢集範圍和所有命名空間下資源的讀寫權限。
是
是
dev(開發人員)
具有所選命名空間下的資源讀寫權限。
是
是
gitops-dev(gitops開發人員)
具有argocd命名空間下應用資源的讀寫權限。
是
不涉及
RBAC許可權所控制的具體資源清單以及授權操作,請參見為RAM使用者或RAM角色授予RBAC許可權。