为进一步收敛ACK托管版集群的Worker RAM角色(节点RAM角色)的权限策略,阿里云容器服务ACK计划于2023年04月03日开始灰度发布新版本的aliyun-acr-credential-helper组件。新版aliyun-acr-credential-helper组件将不再依赖ACK托管版集群的Worker RAM角色的权限策略。您需要对新增的系统角色AliyunCSManagedAcrRole进行授权,才能正常使用新版组件。
影响范围
2023年04月03日及之后创建的,且计划在集群内使用aliyun-acr-credential-helper组件的ACK托管版集群(ACK标准版和ACK Pro版)。
重要 2023年04月03日之前创建的集群不受影响,仍可以正常使用aliyun-acr-credential-helper组件的功能。
变更影响
若您未在2023年04月03日前完成新增的系统AliyunCSManagedAcrRole角色授权,2023年04月03日及之后创建的ACK托管版集群内将无法安装或升级aliyun-acr-credential-helper组件。
届时,控制台会提示您组件操作的前置检查失败。您可以单击查看检查报告,按照页面提示完成AliyunCSManagedAcrRole角色授权操作。
本次变更对2023年04月03日之前创建的集群不产生影响,集群内可以正常使用aliyun-acr-credential-helper组件功能。但对于2023年04月03日及之后创建的集群,集群内使用aliyun-acr-credential-helper组件实现的各类镜像拉取方式可能会由于实现方式的不同而受到不同的影响。具体影响和使用建议如下。| 镜像拉取场景 | 实现方式细分 | Worker RAM角色权限策略状态 | 影响和使用建议 |
|---|---|---|---|
| 同账号拉取 | 未修改。 | 不受影响,可以使用默认方式安装和使用新版组件。 | |
| 已修改,用于定制ACR权限策略。 | 新版组件默认不支持定制ACR权限策略。如果您仍需定制ACR权限策略,可以参考以下建议。
| ||
| 跨账号拉取 | 使用Worker RAM角色扮演 | 已修改。该方式下必须修改Worker RAM角色。 | 如果您仍需要实现跨账号镜像拉取,可以参考以下建议。
|
| 使用RRSA模式 | 未修改。此方式不涉及Worker RAM角色的修改。 | 不受影响,可以继续使用该方式。 | |
| 使用子账号的AK及SK | 未修改。此方式不涉及Worker RAM角色的修改。 | 不受影响,可以继续使用该方式。 | |
| 跨地域拉取 | 未修改。 | 不受影响,可以使用默认方式安装和使用新版组件。 | |
| 已修改,用于定制ACR权限策略。 | 新版组件默认不支持定制ACR权限策略。如果您仍需定制ACR权限策略,可以参考以下建议。
| ||
AliyunCSManagedAcrRole角色授权
2023年04月03日后,您仍然可以进行新增系统角色AliyunCSManagedAcrRole的授权操作。但为避免新版aliyun-acr-credential-helper组件发布后,出现因未授权导致在2023年04月03日及之后创建的新集群内无法正常安装和升级该组件的情况,请在2023年04月03日前完成AliyunCSManagedAcrRole的授权。本小节介绍如何完成AliyunCSManagedAcrRole授权。重要 每个阿里云账号只需授权一次,无需为每个集群重复授权。
操作步骤
- 使用阿里云账号或被授予AdministratorAccess权限的RAM用户登录云资源访问授权控制台。
- 在云资源访问授权页面,单击同意授权,即可完成AliyunCSManagedAcrRole的授权操作。
权限策略
aliyun-acr-credential-helper组件默认依赖的RAM权限策略如下。
{
"Action": [
"cr:GetAuthorizationToken",
"cr:ListInstanceEndpoint",
"cr:PullRepository"
],
"Resource": [
"*"
],
"Effect": "Allow"
}