Container Service for Kubernetes (ACK) bergantung pada layanan Alibaba Cloud lainnya. Jika Anda menggunakan Pengguna Resource Access Management (RAM) untuk mengakses konsol ACK, Anda harus mengonfigurasi izin layanan cloud yang diperlukan agar peran RAM berfungsi sesuai harapan. Topik ini menjelaskan layanan cloud dan izin yang dibutuhkan oleh pengguna RAM untuk menggunakan fitur-fitur dalam konsol ACK.
Bagian berikut hanya mencakup izin untuk mengelola layanan cloud tempat ACK bergantung. Anda juga harus memberikan izin AliyunCSFullAccess atau izin kustom kepada pengguna RAM untuk mengelola konsol ACK. Untuk informasi lebih lanjut tentang cara memberikan izin, lihat Gunakan RAM untuk mengotorisasi akses ke kluster dan sumber daya cloud.
Untuk layanan cloud yang diperlukan oleh kluster ACK, cukup berikan izin baca-saja jika pembuatan tidak diperlukan. Sebagai contoh, jika Anda ingin use an existing Virtual Private Cloud (VPC) saat membuat kluster, Anda hanya memerlukan izin baca-saja untuk VPC tersebut.
Setelah mengonfigurasi izin untuk layanan cloud tempat pengguna RAM bergantung, Anda harus melanjutkan dengan menggunakan RBAC untuk mengelola izin operasi pada sumber daya dalam kluster. Dengan cara ini, pengguna RAM dapat mengelola sumber daya kluster.
Fitur | Dependensi | Izin sistem | Izin kustom Aksi | Sumber daya | Izin yang dikelola di konsol |
Apply for more quotas | Pusat Kuota | AliyunQuotasFullAccess | quotas:ListProductQuotas | * | Mengecek kuota dari layanan Alibaba Cloud tertentu. |
quotas:ListProductQuotaDimensions | * | Mengecek dimensi kuota yang didukung oleh layanan Alibaba Cloud. | |||
quotas:ListProductDimensionGroups | * | Mengecek grup dimensi dari layanan Alibaba Cloud tertentu. | |||
quotas:ListDependentQuotas | * | Mengecek kuota tempat kuota bergantung. | |||
quotas:CreateQuotaApplication | * | Mengirim aplikasi untuk meningkatkan kuota. | |||
Create a cluster | Biaya dan pengeluaran | AliyunBSSFullAccess / AliyunBSSReadOnlyAccess | bssapi:GetPayAsYouGoPrice | * | Mengecek harga produk. |
VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | Cluster Configurations > Network Settings > VPC > Select Existing VPC | |
vpc:DescribeVpcs | * | Cluster Configurations > Network Settings > vSwitch > Select Existing vSwitch | |||
AliyunVPCFullAccess | vpc:CreateVpc | * | Cluster Configurations > Network Settings > VPC > Create VPC | ||
vpc:CreateVSwitch | * | Cluster Configurations > Network Settings > vSwitch > Create vSwitch | |||
Server Load Balancer (SLB) | AliyunSLBFullAccess / AliyunSLBReadOnlyAccess | slb:DescribeLoadBalancers | * | Cluster Configurations > Network Settings > Access to API Server > SLB Source > Select Existing VPC | |
slb:DescribeLoadBalancerListeners | * | ||||
AliyunSLBFullAccess | slb:CreateLoadBalancer | * | Cluster Configurations > Network Settings > Access to API Server > SLB Source > Create | ||
ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeSecurityGroups | * | Cluster Configurations > Network Settings > Security Group > Select Existing Security Group | |
ecs:DescribePrice | * | Navigasikan ke Node Pool Configurations > Instance and Image > Instance Type. Kemudian, pilih instansi untuk memeriksa harga instansi. | |||
ecs:DescribeImages | * | Navigasikan ke Node Pool Configurations > Instance and Image > Operating System. Kemudian, pilih Gambar Kustom atau Gambar Marketplace. | |||
ecs:DescribeKeyPairs | * | Node Pool Configurations > Instance and Image > Logon Type > Key Pair | |||
ecs:DescribeDeploymentSets | * | Master Configurations > Deployment Set > Select a deployment set | |||
AliyunECSFullAccess | ecs:CreateSecurityGroup | * | Navigasikan ke Cluster Configurations > Network Settings > Security Group. Kemudian, pilih Buat Grup Keamanan Dasar atau Buat Grup Keamanan Lanjutan. | ||
Key Management Service (KMS) | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | Cluster Configurations > Advanced Options(Optional) > Secret Encryption > Select Key | |
Auto scaling | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribePatternTypes | * | Node Pool Configurations > Instance Configuration Mode > Specify Instance Attributes | |
ApsaraDB RDS | AliyunRDSFullAccess / AliyunRDSReadOnlyAccess | rds:DescribeDBInstances | * | Node Pool Configurations > Advanced Options (Optional) > RDS Whitelist > Select RDS Instance | |
Application Load Balancer | AliyunALBFullAccess / AliyunALBReadOnlyAccess | alb:ListLoadBalancers | * | Component Configurations > ALB Ingress > ALB Ingress > Existing | |
AliyunALBFullAccess | alb:CreateLoadBalancer | * | Component Configurations > ALB Ingress > ALB Ingress > New | ||
Microservices Engine (MSE) | AliyunMSEFullAccess / AliyunMSEReadOnlyAccess | mse:ListGateway | * | Component Configurations > ALB Ingress > MSE Ingress > Existing | |
AliyunMSEFullAccess | mse:AddGateway | * | Component Configurations > ALB Ingress > MSE Ingress > New | ||
Simple Log Service (SLS) | AliyunLogFullAccess / AliyunLogReadOnlyAccess | log:ListProject | * |
| |
AliyunLogFullAccess | log:CreateProject | * |
| ||
Cluster Information > Basic Information | VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | Mengecek vSwitch untuk mengganti switch bidang kontrol. |
vpc:DescribeEipAddresses | * | Mengecek elastic IP addresses (EIPs) untuk mengganti titik akhir publik dari API Server. | |||
KMS | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | Aktifkan enkripsi rahasia. | |
Cluster Information > Cluster Monitoring | Application Real-Time Monitoring Service (ARMS) | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:ListDashboards | * | Mengecek dasbor Grafana dari kluster. |
Manage Cluster in Cloud Shell | Cloud Shell | AliyunCloudShellFullAccess | cloudshell:CreateEnvironment | * | Membuat lingkungan instansi CloudShell. |
cloudshell:AttachStorage | * | ||||
cloudshell:DetachStorage | * | ||||
cloudshell:CreateSession | * | ||||
cloudshell:DownloadFile | * | Unggah dan unduh file. | |||
cloudshell:UploadFile | * | ||||
File Storage NAS (NAS) | AliyunNASFullAccess | nas:DescribeFileSystems | * | Buat dan ikat sistem file NAS. | |
nas:CreateFileSystem | * | ||||
nas:DescribeAccessRules | * | ||||
Node Pools > Create Node Pool | ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeImages | * | Saat memilih gambar sistem operasi, Anda dapat memperoleh izin gambar kustom dan gambar Marketplace. |
ecs:DescribePrice | * | Mengecek harga terbaru sumber daya ECS. | |||
Node Pools > Create Node Pool atau Edit | VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVpcs | * | Mengecek VPC. |
Node Pools > Logon Mode | ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeKeyPairs | * | Mengecek kunci. |
Node Pools > Add Existing Node | ecs:DescribeInstances | * | Mengecek instansi yang dapat ditambahkan. | ||
ecs:DescribeSecurityGroups | * | Mengecek grup keamanan. | |||
Node Pools > Details > Scaling Activities | Auto Scaling | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribeScalingActivities | * | Mengecek aktivitas penskalaan. |
ess:DescribeScalingActivityDetail | * | Mengecek detail aktivitas penskalaan. | |||
ess:DescribeLifecycleActions | * | Mengecek tindakan siklus hidup aktivitas penskalaan. | |||
CloudOps Orchestration Service (OOS) | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oos:ListExecutions | * | Mengecek informasi eksekusi. | |
Workloads > Create from Image | Container Registry | AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess | cr:ListInstance | * | Mengecek instansi Container Registry. |
cr:ListInstanceDomain | * | Mengecek informasi tentang instansi Container Registry. | |||
cr:ListRepository | * | Mengecek repositori gambar dari instansi Container Registry. | |||
cr:ListArtifactTag | * | Mengecek tag gambar dari instansi Container Registry. | |||
Applications > Knative > Monitoring Dashboards | ARMS | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:InstallAddon | * | Menginstal add-on. |
Inspections and Diagnostics > Cluster Inspections dan Diagnosis | RAM | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:GetRole | acs:ram:*:*:role/aliyuncisdefaultrole | AliyunCISDefaultRole digunakan untuk melakukan diagnosis kesalahan dan inspeksi kluster. |
Inspections and Diagnostics > Cluster Check > Log | SLS | AliyunLogFullAccess | log:GetDashboard | * | Mengecek log. |
log:ListDashboard | * | ||||
log:ListLogStores | * | ||||
log:ListSavedSearch | * | ||||
log:GetLogStoreLogs | * | ||||
log:GetSavedSearch | * | Mengecek informasi tentang peristiwa log. | |||
log:GetIndex | * | Pernyataan kueri. | |||
log:UpdateIndex | * | ||||
log:GetLogStore | * | ||||
log:CreateDashboardSharing | * | Buat berbagi tanpa kata sandi. | |||
Operations > Log Center > Control Plane Component Logs | AliyunLogFullAccess / AliyunLogReadOnlyAccess | log:ListProject | * | Mengecek penyimpanan log. | |
Operations > Log Center > Network Component Logs | AliyunLogFullAccess | log:GetProjectLogs | * | Izin yang diperlukan untuk mengelola log Ingress ALB. | |
log:GetResourceRecord | * | ||||
log:CreateResourceRecord | * | ||||
log:UpdateResourceRecord | * | ||||
Security > Inspections | Security Center | AliyunYundunSASFullAccess | yundun-sas:DescribeVersionConfig | * | Mengecek detail edisi Security Center yang dibeli. |
yundun-sas:GetClusterSuspEventStatistics | * | Mengecek statistik peringatan keamanan. | |||
yundun-sas:DescribeClusterVulStatistics | * | Mengecek statistik kerentanan. | |||
yundun-sas:GetClusterCheckItemWarningStatistics | * | Mengecek statistik peristiwa risiko. | |||
yundun-sas:GetInterceptionSummary | * | Mengecek statistik jumlah peringatan firewall kontainer. | |||
yundun-sas:ListGroups | * | Mengecek daftar grup server. | |||
yundun-sas:ListAccountsInResourceDirectory | * | Izin terkait peringatan keamanan. | |||
yundun-sas:DescribeMonitorAccounts | * | ||||
yundun-sas:DescribeSuspEvents | * | ||||
yundun-sas:DescribeGroupedVul | * | Izin terkait risiko kerentanan. | |||
yundun-sas:DescribeVulExportInfo | * | ||||
yundun-sas:ExportVul | * | ||||
yundun-aegis:DescribeVulNumStatistics | * | ||||
yundun-sas:DescribeGroupedInstances | * | ||||
yundun-sas:DescribeFixUsedCount | * | ||||
yundun-sas:DescribeServiceLinkedRoleStatus | * | ||||
yundun-sas:DescribeVulConfig | * | ||||
yundun-sas:DescribeVulList | * | ||||
yundun-sas:DescribeRiskType | * | Izin terkait risiko dasar. | |||
yundun-sas:ListCheckItemWarningSummary | * | ||||
yundun-sas:ListInterceptionHistory | * | ||||
yundun-sas:ListClusterInterceptionConfig | * | ||||
yundun-sas:GetAssetDetailByUuid | * | ||||
yundun-sas:ListPluginForUuid | * | ||||
yundun-sas:ValidateHcWarnings | * | ||||
yundun-sas:DescribeCheckWarningMachines | * | ||||
yundun-sas:IgnoreCheckItems | * | ||||
yundun-sas:ListCheckItemWarningMachine | * | Izin terkait peringatan firewall kontainer. | |||
Storage > Create CNFS File System | Object Storage Service (OSS) | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oss:ListBucketsByRegion | * | Jika Anda mengatur Jenis Sistem File ke OSS, pilih izin yang diperlukan untuk bucket OSS. |
Application backup | oss:ListBucketsByRegion | * | Buat vault cadangan > Pilih bucket OSS | ||
Authorizations > RAM Users | Kontrol akses | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:ListUserBasicInfos | * | Mengecek informasi dasar semua pengguna RAM. |
Authorizations > RAM Roles | ram:ListRoles | * | Mengecek semua peran RAM. |