日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調(diào)研
輸入文檔關(guān)鍵字查找
首頁 容器服務 Kubernetes 版 ACK 分布式云容器平臺 ACK One 操作指南 授權(quán)管理 授權(quán)概述

授權(quán)概述

更新時間:
產(chǎn)品詳情
相關(guān)技術(shù)圈
我的收藏

根據(jù)權(quán)限類型,分布式云容器平臺 ACK One的權(quán)限包括服務角色、RAM權(quán)限策略和RBCA權(quán)限。您需要為服務賬號授予對應的權(quán)限,才能正常使用分布式云容器平臺 ACK One的功能。

權(quán)限類型

權(quán)限類型

是否必須授權(quán)

權(quán)限說明

服務角色

僅在第一次使用ACK One服務時需要授權(quán),使用阿里云賬號(主賬號)或者RAM管理員賬號(子賬號)授權(quán)一次即可。

授權(quán)后,ACK One服務才能訪問其他關(guān)聯(lián)云服務資源。

RAM系統(tǒng)權(quán)限策略

  • RAM用戶或RAM角色必須授權(quán)

  • 阿里云賬號默認擁有權(quán)限,無需授權(quán)

授權(quán)后,RAM用戶或RAM角色才能使用ACK One的功能。

RBAC權(quán)限

  • RAM用戶或RAM角色必須授權(quán)

  • 阿里云賬號默認擁有權(quán)限,無需授權(quán)

授權(quán)后,RAM用戶或RAM角色才能夠?qū)CK One集群內(nèi)的K8s資源進行操作。

服務角色

服務角色是某個云服務在某些情況下,為了完成自身的某個功能,需要獲取其他云服務的訪問權(quán)限而提供的RAM角色。

例如,在ACK One上創(chuàng)建工作流集群后,ACK One服務需要創(chuàng)建彈性容器ECI實例運行工作流。此時,ACK One就需要擁有創(chuàng)建ECI實例的相應權(quán)限。

ACK One提供以下服務角色,具體的策略內(nèi)容,請參見ACK One服務角色策略內(nèi)容。

角色名稱

角色權(quán)限說明

AliyunServiceRoleForAdcp

  • ACK One在集群管控操作中使用該角色訪問您在ECS、VPC、SLB等相關(guān)云服務中的資源。

  • 必須授予該角色的權(quán)限,才能正常使用ACK One功能。

AliyunAdcpServerlessKubernetesRole

  • ACK One多集群艦隊和分布式工作流Argo集群需要使用該角色,訪問VPC、ECS、PrivateZone、ECI、SLS等服務中的資源。

  • 必須授予該角色的權(quán)限,才能正常使用ACK One功能。

AliyunAdcpManagedMseRole

  • ACK One多集群艦隊需要使用該角色訪問MSE等服務中的資源。

  • 該角色權(quán)限僅在使用多集群網(wǎng)關(guān)功能時需要授權(quán),未授權(quán)不影響其他功能使用。

服務角色無需手動創(chuàng)建,您在首次使用ACK One控制臺和相關(guān)功能時,控制臺界面會自動彈出授權(quán)提示,您只需要按照提示操作即可完成自動授權(quán)。

重要

僅阿里云賬號(主賬號)或RAM管理員賬號可以完成服務角色的自動授權(quán),普通RAM用戶沒有授權(quán)操作的權(quán)限。如果您在操作時系統(tǒng)提示權(quán)限不足,請將賬號切換到阿里云(主賬號)或RAM管理員賬號完成授權(quán)。

RAM系統(tǒng)權(quán)限策略

默認情況下,RAM用戶沒有使用云服務OpenAPI的任何權(quán)限,若您通過RAM用戶或RAM角色使用ACK One時,則需要為RAM用戶或RAM角色授予ACK One資源的操作權(quán)限,才能正常使用ACK One的功能。

ACK One提供以下默認系統(tǒng)權(quán)限策略,用于指定全局資源的讀寫訪問控制,您可以根據(jù)業(yè)務需求為RAM用戶或RAM角色添加對應的系統(tǒng)策略。

具體授權(quán)操作,請參見為RAM用戶或RAM角色授予系統(tǒng)權(quán)限策略

RAM系統(tǒng)權(quán)限策略

權(quán)限說明

集群是否涉及

注冊集群

多集群艦隊

工作流集群

AliyunAdcpFullAccess

當RAM用戶或RAM角色需要ACK One所有資源的讀寫權(quán)限。

AliyunAdcpReadOnlyAccess

當RAM用戶或RAM角色需要ACK One所有資源的只讀權(quán)限。

AliyunCSFullAccess

當RAM用戶或RAM角色需要容器服務產(chǎn)品所有資源的讀寫權(quán)限。

不涉及

AliyunCSReadOnlyAccess

當RAM用戶或RAM角色需要容器服務產(chǎn)品所有資源的只讀權(quán)限。

不涉及

AliyunVPCReadOnlyAccess

當RAM用戶或RAM角色在創(chuàng)建集群時選擇指定VPC。

AliyunECIReadOnlyAccess

當RAM用戶或RAM角色需要將集群Pod調(diào)度到ECI上。

AliyunLogReadOnlyAccess

當RAM用戶或RAM角色在創(chuàng)建集群時選擇已有Log Project存儲審計日志,或查看指定集群的配置巡檢。

AliyunARMSReadOnlyAccess

當RAM用戶或RAM角色需要查看集群阿里云Prometheus插件的監(jiān)控狀態(tài)。

AliyunRAMReadOnlyAccess

當RAM用戶或RAM角色需要查看已有的權(quán)限策略。

AliyunECSReadOnlyAccess

當RAM用戶或RAM角色為集群添加已有云上節(jié)點或查看節(jié)點詳細信息。

不涉及

不涉及

AliyunContainerRegistryReadOnlyAccess

當RAM用戶或RAM角色需要查看阿里云賬號內(nèi)的業(yè)務鏡像。

不涉及

不涉及

AliyunAHASReadOnlyAccess

當RAM用戶或RAM角色需要使用集群拓撲功能。

不涉及

不涉及

AliyunYundunSASReadOnlyAccess

當RAM用戶或RAM角色需要查看指定集群的運行時安全監(jiān)控。

不涉及

不涉及

AliyunKMSReadOnlyAccess

當RAM用戶或RAM角色在創(chuàng)建集群時啟用Secret落盤加密能力。

不涉及

不涉及

AliyunESSReadOnlyAccess

當RAM用戶或RAM角色需要執(zhí)行云上節(jié)點池的相關(guān)操作,例如查看、編輯和擴縮容等。

不涉及

不涉及

RBAC權(quán)限

RAM系統(tǒng)策略僅控制ACK One集群資源的操作權(quán)限,若RAM用戶或RAM角色需要操作指定集群內(nèi)的K8s資源,例如:創(chuàng)建并獲取GitOps Application和Argo Workflow等,還需要獲取指定ACK One集群及其命名空間的操作權(quán)限即RBAC權(quán)限。

ACK One提供以下預置角色:

  • 多集群艦隊和工作流集群RBAC權(quán)限

    RBAC權(quán)限

    權(quán)限說明

    集群是否涉及

    多集群艦隊

    工作流集群

    admin(管理員)

    具有集群范圍和所有命名空間下資源的讀寫權(quán)限。

    dev(開發(fā)人員)

    具有所選命名空間下的資源讀寫權(quán)限。

    gitops-dev(gitops開發(fā)人員)

    具有argocd命名空間下應用資源的讀寫權(quán)限。

    不涉及

  • 注冊集群RBAC權(quán)限

RBAC權(quán)限所控制的具體資源列表以及授權(quán)操作,請參見為RAM用戶或RAM角色授予RBAC權(quán)限。