授權概述
根據(jù)權限類型,分布式云容器平臺 ACK One的權限包括服務角色、RAM權限策略和RBCA權限。您需要為服務賬號授予對應的權限,才能正常使用分布式云容器平臺 ACK One的功能。
權限類型
權限類型 | 是否必須授權 | 權限說明 |
僅在第一次使用ACK One服務時需要授權,使用阿里云賬號(主賬號)或者RAM管理員賬號(子賬號)授權一次即可。 | 授權后,ACK One服務才能訪問其他關聯(lián)云服務資源。 | |
| 授權后,RAM用戶或RAM角色才能使用ACK One的功能。 | |
| 授權后,RAM用戶或RAM角色才能夠?qū)CK One集群內(nèi)的K8s資源進行操作。 |
服務角色
服務角色是某個云服務在某些情況下,為了完成自身的某個功能,需要獲取其他云服務的訪問權限而提供的RAM角色。
例如,在ACK One上創(chuàng)建工作流集群后,ACK One服務需要創(chuàng)建彈性容器ECI實例運行工作流。此時,ACK One就需要擁有創(chuàng)建ECI實例的相應權限。
ACK One提供以下服務角色,具體的策略內(nèi)容,請參見ACK One服務角色策略內(nèi)容。
角色名稱 | 角色權限說明 |
AliyunServiceRoleForAdcp |
|
AliyunAdcpServerlessKubernetesRole |
|
AliyunAdcpManagedMseRole |
|
服務角色無需手動創(chuàng)建,您在首次使用ACK One控制臺和相關功能時,控制臺界面會自動彈出授權提示,您只需要按照提示操作即可完成自動授權。
僅阿里云賬號(主賬號)或RAM管理員賬號可以完成服務角色的自動授權,普通RAM用戶沒有授權操作的權限。如果您在操作時系統(tǒng)提示權限不足,請將賬號切換到阿里云(主賬號)或RAM管理員賬號完成授權。
RAM系統(tǒng)權限策略
默認情況下,RAM用戶沒有使用云服務OpenAPI的任何權限,若您通過RAM用戶或RAM角色使用ACK One時,則需要為RAM用戶或RAM角色授予ACK One資源的操作權限,才能正常使用ACK One的功能。
ACK One提供以下默認系統(tǒng)權限策略,用于指定全局資源的讀寫訪問控制,您可以根據(jù)業(yè)務需求為RAM用戶或RAM角色添加對應的系統(tǒng)策略。
具體授權操作,請參見為RAM用戶或RAM角色授予系統(tǒng)權限策略。
RAM系統(tǒng)權限策略 | 權限說明 | 集群是否涉及 | ||
注冊集群 | 多集群艦隊 | 工作流集群 | ||
AliyunAdcpFullAccess | 當RAM用戶或RAM角色需要ACK One所有資源的讀寫權限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 當RAM用戶或RAM角色需要ACK One所有資源的只讀權限。 | 是 | 是 | 是 |
AliyunCSFullAccess | 當RAM用戶或RAM角色需要容器服務產(chǎn)品所有資源的讀寫權限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 當RAM用戶或RAM角色需要容器服務產(chǎn)品所有資源的只讀權限。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 當RAM用戶或RAM角色在創(chuàng)建集群時選擇指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 當RAM用戶或RAM角色需要將集群Pod調(diào)度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 當RAM用戶或RAM角色在創(chuàng)建集群時選擇已有Log Project存儲審計日志,或查看指定集群的配置巡檢。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 當RAM用戶或RAM角色需要查看集群阿里云Prometheus插件的監(jiān)控狀態(tài)。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 當RAM用戶或RAM角色需要查看已有的權限策略。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 當RAM用戶或RAM角色為集群添加已有云上節(jié)點或查看節(jié)點詳細信息。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 當RAM用戶或RAM角色需要查看阿里云賬號內(nèi)的業(yè)務鏡像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 當RAM用戶或RAM角色需要使用集群拓撲功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 當RAM用戶或RAM角色需要查看指定集群的運行時安全監(jiān)控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 當RAM用戶或RAM角色在創(chuàng)建集群時啟用Secret落盤加密能力。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 當RAM用戶或RAM角色需要執(zhí)行云上節(jié)點池的相關操作,例如查看、編輯和擴縮容等。 | 是 | 不涉及 | 不涉及 |
RBAC權限
RAM系統(tǒng)策略僅控制ACK One集群資源的操作權限,若RAM用戶或RAM角色需要操作指定集群內(nèi)的K8s資源,例如:創(chuàng)建并獲取GitOps Application和Argo Workflow等,還需要獲取指定ACK One集群及其命名空間的操作權限即RBAC權限。
ACK One提供以下預置角色:
多集群艦隊和工作流集群RBAC權限
RBAC權限
權限說明
集群是否涉及
多集群艦隊
工作流集群
admin(管理員)
具有集群范圍和所有命名空間下資源的讀寫權限。
是
是
dev(開發(fā)人員)
具有所選命名空間下的資源讀寫權限。
是
是
gitops-dev(gitops開發(fā)人員)
具有argocd命名空間下應用資源的讀寫權限。
是
不涉及
RBAC權限所控制的具體資源列表以及授權操作,請參見為RAM用戶或RAM角色授予RBAC權限。