全部产品
Search
文档中心

容器服务 Kubernetes 版 ACK:添加授权

更新时间:Mar 12, 2024

使用诊断或巡检服务时,您需要为服务账号授予容器智能运维服务角色,当且仅当该角色被正确授予后,容器智能运维才能正常地调用相关服务(ECS、CS、VPC、SLB等),为您提供集群检查和诊断等服务。本文介绍容器智能运维服务角色包含的权限。

一键授权服务角色

首次使用容器智能运维服务时,您需要为服务账号授予服务角色。操作步骤如下。

说明

阿里云账号(主账号)和拥有管理权限的RAM用户(子账号)都可以授权服务角色。

  1. 登录容器智能运维控制台

  2. 单击前往RAM进行授权进入云资源访问授权页面,然后单击同意授权

    完成以上授权后,刷新控制台即可使用容器智能运维服务。

角色权限内容

容器智能运维包含的服务角色是AliyunCISDefaultRole,容器智能运维将使用该角色访问您在ECS、VPC、SLB等服务中的资源,以为您提供诊断和巡检等服务。AliyunCISDefaultRole相关权限如下表。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

ecs:DescribeInstanceStatus

获取一台或多台ECS实例的状态信息。

ecs:DescribeInstanceTypes

查询云服务器ECS提供的实例规格资源。

ecs:DescribeInstanceTypeFamilies

查询云服务器ECS提供的实例规格族资源。

ecs:DescribeInstanceAttribute

查询单个ECS实例详情。

ecs:CreateDiagnosticReport

创建资源诊断报告。

ecs:DescribeDiagnosticReports

查询资源诊断报告列表。

ecs:DescribeDiagnosticReportAttributes

查询资源诊断详情。

ecs:DescribeDiagnosticMetricSets

查询资源诊断集合列表。

ecs:DescribeDiagnosticMetrics

查询诊断指标列表。

ecs:DescribeSecurityGroupAttribute

查询一个安全组的安全组规则。

ecs:DescribeSecurityGroups

查询安全组的基本信息。

ecs:DescribeSecurityGroupReferences

查询一个安全组和其他哪些安全组有安全组级别的授权行为。

ecs:DescribeBandwidthLimitation

查询带宽资源列表。

ecs:DescribeCloudAssistantStatus

查询一台或者多台实例是否安装了云助手Agent。

ecs:DescribeCommands

查询已经创建的云助手命令。

ecs:DescribeInvocationResults

查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。

ecs:DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

ecs:CreateCommand

新建一条云助手命令。

ecs:InvokeCommand

为一台或多台ECS实例触发一条云助手命令。

ecs:StopInvocation

停止一台或多台ECS实例中正在进行中(Running)的云助手命令进程。

ecs:RunCommand

新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVpcs

查询已创建的VPC。

vpc:DescribeVpcAttribute

查询指定VPC的配置信息。

vpc:DescribeVSwitches

查询已创建的交换机。

vpc:DescribeVSwitchAttributes

查询交换机的配置信息。

vpc:DescribeRouteTableList

查询路由表列表。

vpc:DescribeRouteEntryList

查询路由条目列表。

vpc:DescribeNatGateways

查询指定地域指定条件的NAT网关的详细信息。

vpc:DescribeEipAddresses

查询指定地域已创建的EIP。

vpc:DescribeRouteTables

查询路由表信息。

vpc:DescribeSnatTableEntries

查询已创建的SNAT条目。

vpc:DescribeNetworkAcls

查看网络ACL列表。

vpc:DescribeNetworkAclAttributes

查询网络ACL的详细信息。

SLB相关权限

权限名称(Action)

说明

slb:DescribeLoadBalancers

查询已创建的负载均衡实例。

slb:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

slb:DescribeVServerGroups

查询服务器组列表。

slb:DescribeVServerGroupAttribute

查询服务器组的详细信息。

slb:DescribeLoadBalancerTCPListenerAttribute

查询TCP监听配置。

slb:DescribeLoadBalancerUDPListenerAttribute

查询UDP监听的配置。

slb:DescribeAccessControlLists

查询已创建的访问控制策略组。

slb:DescribeAccessControlListAttribute

查询访问控制策略组的配置。

slb:DescribeLoadBalancerListeners

查询负载均衡监听列表详情。

slb:DescribeHealthStatus

查询后端服务器的健康状态。

SLS相关权限

权限名称(Action)

说明

sls:GetLogStore

查看Logstore的详细信息。

CS相关权限

权限名称(Action)

说明

cs:DescribeClusterDetail

查看集群的详细信息。

cs:DescribeClusterResources

查询指定集群的所有资源。

cs:DescribeTasks

查询指定集群Task。

cs:DescribeTaskInfo

查询指定集群Task信息。

cs:DescribeClusterNodePools

查询集群内所有节点池详情。

cs:DescribeNodePoolVuls

查询指定集群节点池的漏洞列表。

cs:DescribeClusterAddonsUpgradeStatus

查询多个组件的升级状态。

ECI相关权限

权限名称(Action)

说明

eci:DescribeContainerGroups

批量获取容器组信息。

eci:RunCommand

在ECSI实例中执行Shell类型的脚本。

eci:DescribeCommandResult

查看命令的执行结果。

eci:ListUsage

查询指定地域的权益配额。

CMS相关权限

权限名称(Action)

说明

cms:DescribeMetricData

查询指定时间段内云服务的监控数据。

cms:DescribeMetricLast

查询指定监控项的最新监控数据。

cms:DescribeMetricMetaList

查询云监控开放的监控项描述。

cms:DescribeMetricTop

查询排序后的指定云服务的监控数据。

cms:QueryMetricMeta

查询云监控的监控项。

cms:QueryMetricTop

查询指定云服务的监控数据。

cms:ListMetricMeta

列出指标元数据。

cms:ListMetricMetaProject

列出指标元项目。

cms:QueryMetricData

查询云服务的监控数据。

cms:QueryMetricLast

查询监控项的最新监控数据。

cms:DescribeMetricList

查询指定云产品的指定监控项的监控数据。

cms:QueryMetricList

查询云监控的监控项描述。

cms:MetricMeta

查询云监控的监控项。

cms:DescribeAlertLogList

查询最近的报警历史。

cms:DescribeSystemEventAttribute

查询系统事件详情。

cms:GetMetricStreamMeta

查询云监控的监控项描述信息。

QUOTAS相关权限

权限名称(Action)

说明

quotas:ListProducts

查询配额中心已支持的云服务列表。

quotas:ListProductQuotas

查询目标云服务的配额列表。

quotas:ListProductQuotaDimensions

查询目标云服务支持的配额维度。

quotas:GetProductQuota

查询目标配额详情。

quotas:GetProductQuotaDimension

查询目标云服务支持的配额维度详情。

RAM相关权限

权限名称(Action)

说明

ram:ListPoliciesForRole

列举RAM Role Policy相关资源权限。

GRACE相关权限

权限名称(Action)

说明

grace:GetFile

获取ATP分析文件信息。

grace:AnalyzeFile

在ATP平台分析文件。

grace:UploadFileByOSS

通过OSS上传文件到ATP平台。

grace:UploadFileByURL

通过URL上传文件到ATP平台。