全部產品
Search
文件中心

Container Service for Kubernetes:【產品變更】託管版叢集Worker RAM角色許可權收斂公告

更新時間:Nov 15, 2024

當前託管版叢集的Worker RAM角色(即節點RAM角色)預設被授予少量的權限原則。為了進一步加強託管版叢集節點的安全性,阿里雲Container ServiceACK計劃於2023年07月17日開始灰階收斂託管版叢集的Worker RAM角色被授與權限策略。

影響範圍

2023年07月17日及之後建立的ACK託管叢集ACK託管叢集基礎版ACK託管叢集Pro版),且叢集為1.22.15-aliyun.1及以上版本。

重要

以下叢集不在本次變更的影響範圍內:

  • 2023年07月17日之前建立的叢集。

  • 版本小於1.22.15-aliyun.1的叢集。

  • 未被灰階策略覆蓋的阿里雲帳號建立的叢集。

變更影響

變更前,Worker RAM角色預設被授予少量的權限原則。

變更後,新建立的ACK託管版叢集的Worker RAM角色預設將不再被授予任何權限原則。

  • 如果您的應用需要在叢集內訪問阿里雲OpenAPI,推薦您基於ACK提供的RRSA特性擷取OpenAPI訪問憑證。更多資訊,請參見通過RRSA配置ServiceAccount的RAM許可權實現Pod許可權隔離

  • 如果您的應用需要依賴Worker RAM角色,您可以手動為Worker RAM角色授予應用所需的權限原則。具體操作,請參見下文為Worker RAM角色授予權限原則

  • 如果您需要在新建立的叢集內安裝aliyun-acr-credential-helper組件,請確保安裝最新版本的組件。

為Worker RAM角色授予權限原則

步驟一:建立自訂權限原則

關於建立自訂權限原則的具體操作,請參見建立自訂權限原則

步驟二:為叢集的Worker RAM角色授權

  1. 登入Container Service管理主控台,在左側導覽列選擇叢集

  2. 叢集列表頁面,單擊目的地組群名稱。

  3. 叢集資訊頁面的基本資料頁簽下,單擊Worker RAM 角色右側的連結,跳轉至RAM控制台。

  4. 許可權管理頁簽,單擊新增授權,然後在新增授權面板的權限原則地區,篩選上一步已建立的自訂權限原則。

  5. 單擊確認新增授權

  6. 單擊關閉