全部产品
Search
文档中心

容器服务 Kubernetes 版 ACK:为RAM用户或RAM角色授予系统权限策略

更新时间:Apr 01, 2024

默认情况下,RAM用户没有使用云服务OpenAPI的任何权限,若您通过RAM用户或RAM角色使用ACK One时,需要为RAM用户或RAM角色授予ACK One资源的操作权限(例如创建舰队集群、关联集群、创建工作流集群等),才能正常使用ACK One的功能。ACK One提供默认系统权限策略,用于指定全局资源的读写访问控制,本文为您介绍如何为RAM用户或RAM角色授予系统权限策略。

注意事项

您需要使用阿里云(主账号)或RAM管理员账号为RAM用户或RAM角色授权,普通RAM用户无授权操作的权限。

ACK One支持的系统权限策略

RAM系统权限策略

权限说明

集群是否涉及

注册集群

多集群舰队

工作流集群

AliyunAdcpFullAccess

当RAM用户或RAM角色需要ACK One所有资源的读写权限。

AliyunAdcpReadOnlyAccess

当RAM用户或RAM角色需要ACK One所有资源的只读权限。

AliyunCSFullAccess

当RAM用户或RAM角色需要容器服务产品所有资源的读写权限。

不涉及

AliyunCSReadOnlyAccess

当RAM用户或RAM角色需要容器服务产品所有资源的只读权限。

不涉及

AliyunVPCReadOnlyAccess

当RAM用户或RAM角色在创建集群时选择指定VPC。

AliyunECIReadOnlyAccess

当RAM用户或RAM角色需要将集群Pod调度到ECI上。

AliyunLogReadOnlyAccess

当RAM用户或RAM角色在创建集群时选择已有Log Project存储审计日志,或查看指定集群的配置巡检。

AliyunARMSReadOnlyAccess

当RAM用户或RAM角色需要查看集群阿里云Prometheus插件的监控状态。

AliyunRAMReadOnlyAccess

当RAM用户或RAM角色需要查看已有的权限策略。

AliyunECSReadOnlyAccess

当RAM用户或RAM角色为集群添加已有云上节点或查看节点详细信息。

不涉及

不涉及

AliyunContainerRegistryReadOnlyAccess

当RAM用户或RAM角色需要查看阿里云账号内的业务镜像。

不涉及

不涉及

AliyunAHASReadOnlyAccess

当RAM用户或RAM角色需要使用集群拓扑功能。

不涉及

不涉及

AliyunYundunSASReadOnlyAccess

当RAM用户或RAM角色需要查看指定集群的运行时安全监控。

不涉及

不涉及

AliyunKMSReadOnlyAccess

当RAM用户或RAM角色在创建集群时启用Secret落盘加密能力。

不涉及

不涉及

AliyunESSReadOnlyAccess

当RAM用户或RAM角色需要执行云上节点池的相关操作,例如查看、编辑和扩缩容等。

不涉及

不涉及

为RAM用户或RAM角色授权

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

  4. 添加权限面板,为RAM用户添加权限。

    1. 选择授权应用范围。

    2. 指定授权主体。

      授权主体即需要添加权限的RAM用户。

    3. 选择权限区域,单击系统策略,在搜索框中输入需要授权的系统策略,然后单击策略名称。

      说明

      每次最多绑定5条策略,如需绑定更多策略,请分次操作。

  5. 单击确定

  6. 单击完成

相关文档

RAM系统策略仅控制ACK One集群资源的操作权限,若RAM用户或RAM角色需要操作指定集群内的K8s资源(例如创建Pod、获取Node信息等),还需要获取指定ACK集群及其命名空间的操作权限即RBAC权限。具体授权操作,请参见为RAM用户或RAM角色授予RBAC权限