當前託管版叢集的Worker RAM角色(即節點RAM角色)預設被授予少量的權限原則。為了進一步加強託管版叢集節點的安全性,阿里雲Container ServiceACK計劃於2023年07月17日開始灰階收斂託管版叢集的Worker RAM角色被授與權限策略。
影響範圍
2023年07月17日及之後建立的ACK託管叢集(ACK託管叢集基礎版和ACK託管叢集Pro版),且叢集為1.22.15-aliyun.1及以上版本。
以下叢集不在本次變更的影響範圍內:
2023年07月17日之前建立的叢集。
版本小於1.22.15-aliyun.1的叢集。
未被灰階策略覆蓋的阿里雲帳號建立的叢集。
變更影響
變更前,Worker RAM角色預設被授予少量的權限原則。
變更後,新建立的ACK託管版叢集的Worker RAM角色預設將不再被授予任何權限原則。
如果您的應用需要在叢集內訪問阿里雲OpenAPI,推薦您基於ACK提供的RRSA特性擷取OpenAPI訪問憑證。更多資訊,請參見通過RRSA配置ServiceAccount的RAM許可權實現Pod許可權隔離。
如果您的應用需要依賴Worker RAM角色,您可以手動為Worker RAM角色授予應用所需的權限原則。具體操作,請參見下文為Worker RAM角色授予權限原則。
如果您需要在新建立的叢集內安裝aliyun-acr-credential-helper組件,請確保安裝最新版本的組件。
為Worker RAM角色授予權限原則
步驟一:建立自訂權限原則
關於建立自訂權限原則的具體操作,請參見建立自訂權限原則。
步驟二:為叢集的Worker RAM角色授權
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱。
在叢集資訊頁面的基本資料頁簽下,單擊Worker RAM 角色右側的連結,跳轉至RAM控制台。
在許可權管理頁簽,單擊新增授權,然後在新增授權面板的權限原則地區,篩選上一步已建立的自訂權限原則。
單擊確認新增授權。
單擊關閉。