預設情況下,RAM使用者沒有使用雲端服務OpenAPI的任何許可權,若您通過RAM使用者或RAM角色使用ACK One時,需要為RAM使用者或RAM角色授予ACK One資源的操作許可權(例如建立艦隊叢集、關聯集群、建立工作流程叢集等),才能正常使用ACK One的功能。ACK One提供預設系統權限原則,用於指定全域資源的讀寫存取控制,本文為您介紹如何為RAM使用者或RAM角色授予系統權限原則。
注意事項
您需要使用阿里雲(主帳號)或Resource Access Management員帳號為RAM使用者或RAM角色授權,普通RAM使用者無授權操作的許可權。
ACK One支援的系統權限原則
RAM系統權限原則 | 許可權說明 | 叢集是否涉及 | ||
註冊叢集 | 多叢集艦隊 | 工作流程叢集 | ||
AliyunAdcpFullAccess | 當RAM使用者或RAM角色需要ACK One所有資源的讀寫權限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 當RAM使用者或RAM角色需要ACK One所有資源的唯讀許可權。 | 是 | 是 | 是 |
AliyunCSFullAccess | 當RAM使用者或RAM角色需要Container Service產品所有資源的讀寫權限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 當RAM使用者或RAM角色需要Container Service產品所有資源的唯讀許可權。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時選擇指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 當RAM使用者或RAM角色需要將叢集Pod調度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時選擇已有Log Project儲存審計日誌,或查看指定叢集的配置巡檢。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 當RAM使用者或RAM角色需要查看叢集阿里雲Prometheus外掛程式的監控狀態。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 當RAM使用者或RAM角色需要查看已有的權限原則。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 當RAM使用者或RAM角色為叢集添加已有雲上節點或查看節點詳細資料。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 當RAM使用者或RAM角色需要查看阿里雲帳號內的業務鏡像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 當RAM使用者或RAM角色需要使用叢集拓撲功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 當RAM使用者或RAM角色需要查看指定叢集的運行時安全監控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 當RAM使用者或RAM角色在建立叢集時啟用Secret落盤加密功能。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 當RAM使用者或RAM角色需要執行雲上節點池的相關操作,例如查看、編輯和擴縮容等。 | 是 | 不涉及 | 不涉及 |
為RAM使用者或RAM角色授權
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
相關文檔
RAM系統策略僅控制ACK One叢集資源的操作許可權,若RAM使用者或RAM角色需要操作指定叢集內的K8s資源(例如建立GitOps Application和Workflow等),還需要擷取指定ACK One艦隊和工作流程叢集及其命名空間的操作許可權即RBAC許可權。具體授權操作,請參見為RAM使用者或RAM角色授予RBAC許可權。