使用诊断或巡检服务时,您需要为服务账号授予容器智能运维服务角色,当且仅当该角色被正确授予后,容器智能运维才能正常地调用相关服务(ECS、CS、VPC、SLB等),为您提供集群检查和诊断等服务。本文介绍容器智能运维服务角色包含的权限。
一键授权服务角色
首次使用容器智能运维服务时,您需要为服务账号授予服务角色。操作步骤如下。
阿里云账号(主账号)和拥有管理权限的RAM用户(子账号)都可以授权服务角色。
角色权限内容
容器智能运维包含的服务角色是AliyunCISDefaultRole,容器智能运维将使用该角色访问您在ECS、VPC、SLB等服务中的资源,以为您提供诊断和巡检等服务。AliyunCISDefaultRole相关权限如下表。
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DescribeInstanceStatus | 获取一台或多台ECS实例的状态信息。 |
ecs:DescribeInstanceTypes | 查询云服务器ECS提供的实例规格资源。 |
ecs:DescribeInstanceTypeFamilies | 查询云服务器ECS提供的实例规格族资源。 |
ecs:DescribeInstanceAttribute | 查询单个ECS实例详情。 |
ecs:CreateDiagnosticReport | 创建资源诊断报告。 |
ecs:DescribeDiagnosticReports | 查询资源诊断报告列表。 |
ecs:DescribeDiagnosticReportAttributes | 查询资源诊断详情。 |
ecs:DescribeDiagnosticMetricSets | 查询资源诊断集合列表。 |
ecs:DescribeDiagnosticMetrics | 查询诊断指标列表。 |
ecs:DescribeSecurityGroupAttribute | 查询一个安全组的安全组规则。 |
ecs:DescribeSecurityGroups | 查询安全组的基本信息。 |
ecs:DescribeSecurityGroupReferences | 查询一个安全组和其他哪些安全组有安全组级别的授权行为。 |
ecs:DescribeBandwidthLimitation | 查询带宽资源列表。 |
ecs:DescribeCloudAssistantStatus | 查询一台或者多台实例是否安装了云助手Agent。 |
ecs:DescribeCommands | 查询已经创建的云助手命令。 |
ecs:DescribeInvocationResults | 查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:CreateCommand | 新建一条云助手命令。 |
ecs:InvokeCommand | 为一台或多台ECS实例触发一条云助手命令。 |
ecs:StopInvocation | 停止一台或多台ECS实例中正在进行中(Running)的云助手命令进程。 |
ecs:RunCommand | 新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:DescribeVpcAttribute | 查询指定VPC的配置信息。 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
vpc:DescribeVSwitchAttributes | 查询交换机的配置信息。 |
vpc:DescribeRouteTableList | 查询路由表列表。 |
vpc:DescribeRouteEntryList | 查询路由条目列表。 |
vpc:DescribeNatGateways | 查询指定地域指定条件的NAT网关的详细信息。 |
vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
vpc:DescribeRouteTables | 查询路由表信息。 |
vpc:DescribeSnatTableEntries | 查询已创建的SNAT条目。 |
vpc:DescribeNetworkAcls | 查看网络ACL列表。 |
vpc:DescribeNetworkAclAttributes | 查询网络ACL的详细信息。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:DescribeVServerGroups | 查询服务器组列表。 |
slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查询TCP监听配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查询UDP监听的配置。 |
slb:DescribeAccessControlLists | 查询已创建的访问控制策略组。 |
slb:DescribeAccessControlListAttribute | 查询访问控制策略组的配置。 |
slb:DescribeLoadBalancerListeners | 查询负载均衡监听列表详情。 |
slb:DescribeHealthStatus | 查询后端服务器的健康状态。 |
SLS相关权限
权限名称(Action) | 说明 |
sls:GetLogStore | 查看Logstore的详细信息。 |
CS相关权限
权限名称(Action) | 说明 |
cs:DescribeClusterDetail | 查看集群的详细信息。 |
cs:DescribeClusterResources | 查询指定集群的所有资源。 |
cs:DescribeTasks | 查询指定集群Task。 |
cs:DescribeTaskInfo | 查询指定集群Task信息。 |
cs:DescribeClusterNodePools | 查询集群内所有节点池详情。 |
cs:DescribeNodePoolVuls | 查询指定集群节点池的漏洞列表。 |
cs:DescribeClusterAddonsUpgradeStatus | 查询多个组件的升级状态。 |
ECI相关权限
权限名称(Action) | 说明 |
eci:DescribeContainerGroups | 批量获取容器组信息。 |
eci:RunCommand | 在ECSI实例中执行Shell类型的脚本。 |
eci:DescribeCommandResult | 查看命令的执行结果。 |
eci:ListUsage | 查询指定地域的权益配额。 |
CMS相关权限
权限名称(Action) | 说明 |
cms:DescribeMetricData | 查询指定时间段内云服务的监控数据。 |
cms:DescribeMetricLast | 查询指定监控项的最新监控数据。 |
cms:DescribeMetricMetaList | 查询云监控开放的监控项描述。 |
cms:DescribeMetricTop | 查询排序后的指定云服务的监控数据。 |
cms:QueryMetricMeta | 查询云监控的监控项。 |
cms:QueryMetricTop | 查询指定云服务的监控数据。 |
cms:ListMetricMeta | 列出指标元数据。 |
cms:ListMetricMetaProject | 列出指标元项目。 |
cms:QueryMetricData | 查询云服务的监控数据。 |
cms:QueryMetricLast | 查询监控项的最新监控数据。 |
cms:DescribeMetricList | 查询指定云产品的指定监控项的监控数据。 |
cms:QueryMetricList | 查询云监控的监控项描述。 |
cms:MetricMeta | 查询云监控的监控项。 |
cms:DescribeAlertLogList | 查询最近的报警历史。 |
cms:DescribeSystemEventAttribute | 查询系统事件详情。 |
cms:GetMetricStreamMeta | 查询云监控的监控项描述信息。 |
QUOTAS相关权限
权限名称(Action) | 说明 |
quotas:ListProducts | 查询配额中心已支持的云服务列表。 |
quotas:ListProductQuotas | 查询目标云服务的配额列表。 |
quotas:ListProductQuotaDimensions | 查询目标云服务支持的配额维度。 |
quotas:GetProductQuota | 查询目标配额详情。 |
quotas:GetProductQuotaDimension | 查询目标云服务支持的配额维度详情。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:ListPoliciesForRole | 列举RAM Role Policy相关资源权限。 |
GRACE相关权限
权限名称(Action) | 说明 |
grace:GetFile | 获取ATP分析文件信息。 |
grace:AnalyzeFile | 在ATP平台分析文件。 |
grace:UploadFileByOSS | 通过OSS上传文件到ATP平台。 |
grace:UploadFileByURL | 通过URL上传文件到ATP平台。 |