全部產品
Search
文件中心

Container Service for Kubernetes:為RAM使用者或RAM角色授予系統權限原則

更新時間:Dec 12, 2024

預設情況下,RAM使用者沒有使用雲端服務OpenAPI的任何許可權,若您通過RAM使用者或RAM角色使用ACK One時,需要為RAM使用者或RAM角色授予ACK One資源的操作許可權(例如建立艦隊叢集、關聯集群、建立工作流程叢集等),才能正常使用ACK One的功能。ACK One提供預設系統權限原則,用於指定全域資源的讀寫存取控制,本文為您介紹如何為RAM使用者或RAM角色授予系統權限原則。

注意事項

您需要使用阿里雲(主帳號)或Resource Access Management員帳號為RAM使用者或RAM角色授權,普通RAM使用者無授權操作的許可權。

ACK One支援的系統權限原則

RAM系統權限原則

許可權說明

叢集是否涉及

註冊叢集

多叢集艦隊

工作流程叢集

AliyunAdcpFullAccess

當RAM使用者或RAM角色需要ACK One所有資源的讀寫權限。

AliyunAdcpReadOnlyAccess

當RAM使用者或RAM角色需要ACK One所有資源的唯讀許可權。

AliyunCSFullAccess

當RAM使用者或RAM角色需要Container Service產品所有資源的讀寫權限。

不涉及

AliyunCSReadOnlyAccess

當RAM使用者或RAM角色需要Container Service產品所有資源的唯讀許可權。

不涉及

AliyunVPCReadOnlyAccess

當RAM使用者或RAM角色在建立叢集時選擇指定VPC。

AliyunECIReadOnlyAccess

當RAM使用者或RAM角色需要將叢集Pod調度到ECI上。

AliyunLogReadOnlyAccess

當RAM使用者或RAM角色在建立叢集時選擇已有Log Project儲存審計日誌,或查看指定叢集的配置巡檢。

AliyunARMSReadOnlyAccess

當RAM使用者或RAM角色需要查看叢集阿里雲Prometheus外掛程式的監控狀態。

AliyunRAMReadOnlyAccess

當RAM使用者或RAM角色需要查看已有的權限原則。

AliyunECSReadOnlyAccess

當RAM使用者或RAM角色為叢集添加已有雲上節點或查看節點詳細資料。

不涉及

不涉及

AliyunContainerRegistryReadOnlyAccess

當RAM使用者或RAM角色需要查看阿里雲帳號內的業務鏡像。

不涉及

不涉及

AliyunAHASReadOnlyAccess

當RAM使用者或RAM角色需要使用叢集拓撲功能。

不涉及

不涉及

AliyunYundunSASReadOnlyAccess

當RAM使用者或RAM角色需要查看指定叢集的運行時安全監控。

不涉及

不涉及

AliyunKMSReadOnlyAccess

當RAM使用者或RAM角色在建立叢集時啟用Secret落盤加密功能。

不涉及

不涉及

AliyunESSReadOnlyAccess

當RAM使用者或RAM角色需要執行雲上節點池的相關操作,例如查看、編輯和擴縮容等。

不涉及

不涉及

為RAM使用者或RAM角色授權

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

    image

    您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

  4. 新增授權面板,為RAM使用者添加許可權。

    1. 選擇資源範圍。

    2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

    3. 選擇權限原則。

      權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。

      • 系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務

        說明

        系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。

      • 自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則

    4. 單擊確認新增授權

相關文檔

RAM系統策略僅控制ACK One叢集資源的操作許可權,若RAM使用者或RAM角色需要操作指定叢集內的K8s資源(例如建立GitOps Application和Workflow等),還需要擷取指定ACK One艦隊和工作流程叢集及其命名空間的操作許可權即RBAC許可權。具體授權操作,請參見為RAM使用者或RAM角色授予RBAC許可權