默認情況下,RAM用戶沒有使用云服務OpenAPI的任何權限,若您通過RAM用戶或RAM角色使用ACK One時,需要為RAM用戶或RAM角色授予ACK One資源的操作權限(例如創建艦隊集群、關聯集群、創建工作流集群等),才能正常使用ACK One的功能。ACK One提供默認系統權限策略,用于指定全局資源的讀寫訪問控制,本文為您介紹如何為RAM用戶或RAM角色授予系統權限策略。
注意事項
您需要使用阿里云(主賬號)或RAM管理員賬號為RAM用戶或RAM角色授權,普通RAM用戶無授權操作的權限。
ACK One支持的系統權限策略
RAM系統權限策略 | 權限說明 | 集群是否涉及 | ||
注冊集群 | 多集群艦隊 | 工作流集群 | ||
AliyunAdcpFullAccess | 當RAM用戶或RAM角色需要ACK One所有資源的讀寫權限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 當RAM用戶或RAM角色需要ACK One所有資源的只讀權限。 | 是 | 是 | 是 |
AliyunCSFullAccess | 當RAM用戶或RAM角色需要容器服務產品所有資源的讀寫權限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 當RAM用戶或RAM角色需要容器服務產品所有資源的只讀權限。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 當RAM用戶或RAM角色在創建集群時選擇指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 當RAM用戶或RAM角色需要將集群Pod調度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 當RAM用戶或RAM角色在創建集群時選擇已有Log Project存儲審計日志,或查看指定集群的配置巡檢。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 當RAM用戶或RAM角色需要查看集群阿里云Prometheus插件的監控狀態。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 當RAM用戶或RAM角色需要查看已有的權限策略。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 當RAM用戶或RAM角色為集群添加已有云上節點或查看節點詳細信息。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 當RAM用戶或RAM角色需要查看阿里云賬號內的業務鏡像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 當RAM用戶或RAM角色需要使用集群拓撲功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 當RAM用戶或RAM角色需要查看指定集群的運行時安全監控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 當RAM用戶或RAM角色在創建集群時啟用Secret落盤加密能力。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 當RAM用戶或RAM角色需要執行云上節點池的相關操作,例如查看、編輯和擴縮容等。 | 是 | 不涉及 | 不涉及 |
為RAM用戶或RAM角色授權
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在添加權限面板,為RAM用戶添加權限。
選擇授權應用范圍。
整個云賬號:權限在當前阿里云賬號內生效。
指定資源組:權限在指定的資源組內生效。
說明指定資源組授權生效的前提是該云服務已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
指定授權主體。
授權主體即需要添加權限的RAM用戶。
在選擇權限區域,單擊系統策略,在搜索框中輸入需要授權的系統策略,然后單擊策略名稱。
說明每次最多綁定5條策略,如需綁定更多策略,請分次操作。
單擊確定。
單擊完成。
相關文檔
RAM系統策略僅控制ACK One集群資源的操作權限,若RAM用戶或RAM角色需要操作指定集群內的K8s資源(例如創建Pod、獲取Node信息等),還需要獲取指定ACK集群及其命名空間的操作權限即RBAC權限。具體授權操作,請參見為RAM用戶或RAM角色授予RBAC權限。