【產品變更】託管叢集節點RAM角色收斂公告 - Container Service for Kubernetes

當前託管叢集節點預設的WorkerRolePolicy許可權較大，為了進一步加強託管叢集節點在多租戶情境下的安全隔離性，Container ServiceKubernetes版ACK（Container Service for Kubernetes）已收斂託管叢集節點RAM角色綁定的許可權。

角色授權

原有的RAM角色綁定許可權被收斂後，原有節點角色中用於叢集系統addon組件的權限原則將被刪除，同時增加addon各組件對應的ACK系統角色。角色許可權收斂後您在ACK控制台建立託管叢集時，系統會提示進行以下系統角色授權，您可以使用主帳號或具有AliyunRAMFullAccess或AdministratorAccess授權的子帳號單擊前往RAM進行授權，進入RAM的大量授權頁面進行授權。

說明如果您使用OpenAPI建立叢集，請使用授權連結進行授權。

在大量授權頁面最下方，單擊同意授權後，重新登入Container Service管理主控台即可建立叢集。

上述大量授權將增加以下系統角色的授權，用於叢集addon組件的OpenAPI調用：

AliyunCSManagedLogRole
AliyunCSManagedCmsRole
AliyunCSManagedCsiRole
AliyunCSManagedVKRole
AliyunCSManagedNetworkRole
AliyunCSManagedArmsRole

收斂後的預設WorkerRole的RAM策略定義如下。

{
  "Version": "1",
  "Statement": [{
      "Action": [
        "ecs:DescribeInstanceAttribute",
        "ecs:DescribeInstanceTypesNew",
        "ecs:DescribeInstances"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:GetProject",
        "log:GetLogStore",
        "log:GetConfig",
        "log:GetMachineGroup",
        "log:GetAppliedMachineGroups",
        "log:GetAppliedConfigs",
        "log:GetIndex",
        "log:GetSavedSearch",
        "log:GetDashboard",
        "log:GetJob"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
       "cr:GetAuthorizationToken",
       "cr:ListInstanceEndpoint",
       "cr:PullRepository"
      ],  
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
     }
  ]
}