All Products
Search

This Product

    Container Service for Kubernetes:Berikan izin

    Document Center

    Container Service for Kubernetes:Berikan izin

    Last Updated:Mar 26, 2026

    Container Intelligent Service (CIS) memerlukan akses ke instance Elastic Compute Service (ECS), Virtual Private Cloud (VPC), instance Server Load Balancer (SLB), dan resource lainnya untuk menjalankan diagnostik dan inspeksi kluster. Akses ini diberikan melalui peran layanan AliyunCISDefaultRole. Tetapkan peran ini sekali saja, dan CIS dapat memanggil API yang diperlukan untuk menginspeksi serta mendiagnosis kluster ACK Anda.

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • Akun Alibaba Cloud atau pengguna Resource Access Management (RAM) dengan izin administrator

    Tetapkan peran layanan

    Jika Anda sebelumnya telah menggunakan CIS, peran AliyunCISDefaultRole mungkin sudah ditetapkan. Untuk memastikan, periksa apakah Anda dapat mengakses fitur diagnostik dan inspeksi kluster di konsol CIS tanpa diminta melakukan otorisasi.

    1. Masuk ke konsol CIS.

    2. Klik Go to RAM authorization untuk membuka halaman Cloud Resource Access Authorization, lalu klik Agree to Authorization.

    3. Setelah otorisasi selesai, muat ulang halaman konsol CIS untuk mulai menggunakan fitur diagnostik dan inspeksi.

    Izin yang diberikan oleh AliyunCISDefaultRole

    Tabel berikut mencantumkan semua izin yang diberikan kepada CIS melalui AliyunCISDefaultRole.

    Izin terkait ECS

    CIS menggunakan izin ini untuk menginspeksi konfigurasi instance ECS, security group, antarmuka jaringan, dan bandwidth, serta menjalankan perintah diagnostik selama inspeksi aktif.

    PermissionDescriptionPurpose
    ecs:DescribeInstancesMengambil detail satu atau beberapa instance ECSMengidentifikasi node kluster dan konfigurasinya
    ecs:DescribeInstanceStatusMengambil status satu atau beberapa instance ECSMemeriksa ketersediaan node selama diagnostik
    ecs:DescribeInstanceTypesMengambil tipe instance ECS yang tersediaMemvalidasi konfigurasi tipe instance node
    ecs:DescribeInstanceTypeFamiliesMengambil keluarga tipe instance ECS yang tersediaMemvalidasi konfigurasi keluarga instance node
    ecs:DescribeInstanceAttributeMengambil detail instance ECS tertentuMenginspeksi atribut node individual
    ecs:CreateDiagnosticReportMembuat laporan diagnostik resourceMenjalankan diagnostik tingkat instance
    ecs:DescribeDiagnosticReportsMengambil laporan diagnostik resourceMengambil hasil laporan diagnostik
    ecs:DescribeDiagnosticReportAttributesMengambil detail laporan diagnostikMenginspeksi detail laporan diagnostik
    ecs:DescribeDiagnosticMetricSetsMengambil set metrik diagnostikMengakses metrik diagnostik yang tersedia
    ecs:DescribeDiagnosticMetricsMengambil metrik diagnostikMengambil data metrik diagnostik tertentu
    ecs:DescribeSecurityGroupAttributeMengambil aturan security groupMenginspeksi aturan security group untuk diagnostik jaringan
    ecs:DescribeSecurityGroupsMengambil informasi dasar tentang security groupMenampilkan daftar security group yang terkait dengan node kluster
    ecs:DescribeSecurityGroupReferencesMemeriksa apakah security group dirujuk oleh aturan security group lainMendeteksi dependensi aturan lintas grup
    ecs:DescribeBandwidthLimitationMengambil resource bandwidthMemeriksa batas bandwidth selama diagnostik jaringan
    ecs:DescribeCloudAssistantStatusMemeriksa apakah Cloud Assistant Agent telah terinstal pada instance ECSMemverifikasi ketersediaan Cloud Assistant sebelum menjalankan perintah
    ecs:DescribeCommandsMengambil daftar perintah Asisten CloudMenampilkan daftar perintah diagnostik yang tersedia di node
    ecs:DescribeInvocationResultsMengambil hasil eksekusi perintah Cloud Assistant pada instance ECSMengambil output perintah selama diagnostik aktif
    ecs:DescribeNetworkInterfacesMengambil elastic network interfaces (ENIs)Menginspeksi konfigurasi ENI untuk diagnostik jaringan
    ecs:CreateCommandMembuat perintah Cloud AssistantMembuat skrip diagnostik untuk inspeksi aktif
    ecs:InvokeCommandMemicu perintah Cloud Assistant pada satu atau beberapa instance ECSMenjalankan perintah diagnostik pada node selama inspeksi aktif
    ecs:StopInvocationMenghentikan perintah Cloud Assistant yang sedang berjalan pada satu atau beberapa instance ECSMembatalkan perintah diagnostik jika diperlukan
    ecs:RunCommandMenjalankan perintah shell, PowerShell, atau batch pada instance ECSMenjalankan skrip diagnostik langsung pada node

    Izin terkait VPC

    CIS menggunakan izin ini untuk menginspeksi topologi VPC, routing, gerbang NAT, dan daftar kontrol akses jaringan (ACL) untuk diagnostik jaringan.

    PermissionDescriptionPurpose
    vpc:DescribeVpcsMengambil daftar VPC AndaMengidentifikasi VPC yang terkait dengan kluster
    vpc:DescribeVpcAttributeMengambil konfigurasi VPCMenginspeksi pengaturan VPC selama diagnostik jaringan
    vpc:DescribeVSwitchesMengambil daftar vSwitch AndaMenampilkan daftar vSwitch yang digunakan oleh node kluster
    vpc:DescribeVSwitchAttributesMengambil detail vSwitchMenginspeksi konfigurasi vSwitch dan alamat IP yang tersedia
    vpc:DescribeRouteTableListMengajukan kueri pada tabel ruteMenampilkan daftar tabel rute yang terkait dengan VPC kluster
    vpc:DescribeRouteEntryListMengambil entri ruteMenginspeksi aturan routing untuk diagnostik jalur jaringan
    vpc:DescribeNatGatewaysMengambil daftar gerbang NAT di suatu wilayahMemeriksa konfigurasi gerbang NAT untuk diagnostik lalu lintas outbound
    vpc:DescribeEipAddressesMengambil daftar elastic IP addresses (EIPs) di suatu wilayahMenginspeksi binding EIP untuk diagnostik akses publik
    vpc:DescribeRouteTablesMengambil informasi tabel ruteMengambil data detail tabel rute
    vpc:DescribeSnatTableEntriesMengambil entri SNATMenginspeksi aturan SNAT untuk diagnostik konektivitas outbound
    vpc:DescribeNetworkAclsMengambil daftar ACL jaringanMenampilkan daftar ACL jaringan yang mungkin memengaruhi traffic kluster
    vpc:DescribeNetworkAclAttributesMengambil detail ACL jaringanMenginspeksi aturan ACL untuk diagnostik jaringan

    Izin terkait SLB

    CIS menggunakan izin ini untuk menginspeksi instance Server Load Balancer (SLB), konfigurasi listener, kelompok server backend, dan status kesehatan untuk diagnostik load balancer.

    PermissionDescriptionPurpose
    slb:DescribeLoadBalancersMengambil daftar instance SLB AndaMengidentifikasi instance SLB yang terkait dengan layanan kluster
    slb:DescribeLoadBalancerAttributeMengambil detail instance SLBMenginspeksi konfigurasi SLB selama diagnostik
    slb:DescribeVServerGroupsMengambil daftar kelompok vServerMenampilkan daftar kelompok server backend untuk layanan kluster
    slb:DescribeVServerGroupAttributeMengambil detail kelompok vServerMenginspeksi konfigurasi kelompok server backend
    slb:DescribeLoadBalancerTCPListenerAttributeMengambil konfigurasi listener TCPMenginspeksi pengaturan listener TCP untuk diagnostik
    slb:DescribeLoadBalancerUDPListenerAttributeMengambil konfigurasi listener UDPPeriksa pengaturan Pendengar UDP untuk diagnostik
    slb:DescribeAccessControlListsMengambil daftar ACL jaringanMenampilkan daftar ACL yang diterapkan pada listener SLB
    slb:DescribeAccessControlListAttributeMengambil konfigurasi ACL jaringanMenginspeksi aturan ACL yang diterapkan pada listener SLB
    slb:DescribeLoadBalancerListenersMengambil daftar listener instance SLBMenampilkan semua listener untuk instance SLB tertentu
    slb:DescribeHealthStatusMengambil status kesehatan server backendMemeriksa kesehatan server backend selama diagnostik

    Izin terkait Simple Log Service

    CIS menggunakan izin ini untuk mengakses metadata Logstore guna melakukan diagnostik berbasis log.

    PermissionDescriptionPurpose
    sls:GetLogStoreMengambil detail LogstoreMengakses data log untuk diagnostik kluster

    Izin terkait ACK

    CIS menggunakan izin ini untuk menginspeksi detail kluster ACK, kelompok node, tugas, dan status peningkatan komponen.

    PermissionDescriptionPurpose
    cs:DescribeClusterDetailMengambil detail kluster ACKMengambil konfigurasi kluster untuk diagnostik
    cs:DescribeClusterResourcesMengambil semua resource dalam kluster ACKMenginventarisasi sumber daya klaster selama pemeriksaan
    cs:DescribeTasksMengambil daftar tugas dalam kluster ACKMemantau status tugas kluster selama diagnostik
    cs:DescribeTaskInfoMengambil informasi tugas dalam kluster ACKMengambil detail tugas kluster tertentu
    cs:DescribeClusterNodePoolsMengambil semua kelompok node dalam kluster ACKMenginspeksi konfigurasi dan status kelompok node
    cs:DescribeNodePoolVulsMengambil kerentanan kelompok node dalam kluster ACKMengidentifikasi kerentanan keamanan dalam kelompok node
    cs:DescribeClusterAddonsUpgradeStatusMengambil progres peningkatan komponen klusterMemeriksa status peningkatan komponen selama inspeksi

    Izin terkait Elastic Container Instance

    CIS menggunakan izin ini untuk menginspeksi pod Elastic Container Instance (ECI) dan menjalankan perintah diagnostik pada kontainer arsitektur tanpa server.

    PermissionDescriptionPurpose
    eci:DescribeContainerGroupsMengambil informasi tentang pod dalam Elastic Container Instance (ECI)Menginspeksi konfigurasi dan status pod ECI
    eci:RunCommandMenjalankan skrip shell pada instance kontainer elastisMenjalankan skrip diagnostik pada kontainer arsitektur tanpa server
    eci:DescribeCommandResultMengambil hasil eksekusi perintahMengambil output perintah diagnostik dari pod ECI
    eci:ListUsageMengambil hak istimewa dan kuota di suatu wilayahMemeriksa penggunaan kuota ECI selama diagnostik

    Izin terkait CloudMonitor

    CIS menggunakan izin ini untuk mengambil data pemantauan dan alert guna melakukan diagnostik kinerja dan kesehatan.

    PermissionDescriptionPurpose
    cms:DescribeMetricDataMengajukan kueri terhadap data pemantauan yang dikumpulkan selama periode tertentuMengambil data metrik historis untuk diagnostik
    cms:DescribeMetricLastMengambil data pemantauan terbaru untuk suatu metrikMendapatkan nilai metrik saat ini selama inspeksi
    cms:DescribeMetricMetaListMengambil deskripsi metrik yang didukung oleh CloudMonitorMenampilkan daftar metrik yang tersedia untuk analisis diagnostik
    cms:DescribeMetricTopMengambil data pemantauan terurut untuk layanan Alibaba CloudMengidentifikasi konsumen resource teratas selama diagnostik
    cms:QueryMetricMetaKueri metrik yang didukung oleh CloudMonitorMengambil metadata metrik untuk kueri diagnostik
    cms:QueryMetricTopMengambil data pemantauan untuk layanan Alibaba CloudMengambil data metrik terurut untuk analisis
    cms:ListMetricMetaMengambil metadata metrikMenampilkan daftar metadata untuk metrik yang tersedia
    cms:ListMetricMetaProjectMengambil proyek meta metrikMenampilkan daftar proyek metrik untuk diagnostik terarah
    cms:QueryMetricDataMengambil data pemantauan layanan Alibaba CloudMengambil data metrik untuk beberapa layanan
    cms:QueryMetricLastMengambil data pemantauan terbaru untuk metrikMendapatkan nilai metrik terbaru
    cms:DescribeMetricListMengambil data pemantauan untuk metrik tertentuMengambil data deret waktu untuk metrik tertentu
    cms:QueryMetricListMengambil deskripsi metrik yang didukung oleh CloudMonitorMenampilkan daftar deskripsi metrik sebagai referensi diagnostik
    cms:MetricMetaMengambil metrik yang didukung oleh CloudMonitorMengakses definisi metrik untuk analisis diagnostik
    cms:DescribeAlertLogListMengambil daftar alert terbaruMengambil riwayat alert selama inspeksi kesehatan
    cms:DescribeSystemEventAttributeMengambil detail peristiwa sistemMenginspeksi peristiwa sistem yang terkait dengan resource kluster
    cms:GetMetricStreamMetaMengambil deskripsi metrik CloudMonitorMengambil metadata metrik streaming

    Izin terkait Quota Center

    CIS menggunakan izin ini untuk memeriksa kuota layanan selama diagnostik, membantu mengidentifikasi apakah batas kuota mungkin memengaruhi operasi kluster.

    PermissionDescriptionPurpose
    quotas:ListProductsMengambil daftar layanan Alibaba Cloud yang mendukung Quota CenterMenampilkan daftar layanan yang kuotanya dapat diperiksa
    quotas:ListProductQuotasMengambil kuota untuk layanan Alibaba CloudMengambil batas kuota untuk layanan terkait kluster
    quotas:ListProductQuotaDimensionsMengambil dimensi kuota yang didukung oleh layanan Alibaba CloudMengakses data kuota berdasarkan dimensi tertentu
    quotas:GetProductQuotaMengambil detail kuotaMenginspeksi nilai kuota tertentu dan penggunaannya
    quotas:GetProductQuotaDimensionMengambil detail dimensi kuotaMengambil detail kuota untuk dimensi tertentu

    Izin terkait RAM

    CIS menggunakan izin ini untuk memverifikasi bahwa kebijakan yang dilampirkan pada AliyunCISDefaultRole telah dikonfigurasi dengan benar.

    PermissionDescriptionPurpose
    ram:ListPoliciesForRoleMengambil daftar kebijakan yang dilampirkan pada peran RAMMemverifikasi bahwa peran layanan memiliki kebijakan yang diperlukan

    Izin terkait Application Troubleshooting Platform

    CIS menggunakan izin ini untuk mengunggah dan menganalisis file diagnostik di Application Troubleshooting Platform (ATP) guna melakukan analisis akar masalah secara mendalam.

    PermissionDescriptionPurpose
    grace:GetFileMengambil informasi tentang file analisis di Application Troubleshooting Platform (ATP)Mengambil metadata file diagnostik dari ATP
    grace:AnalyzeFileMenganalisis file di ATPMemicu analisis otomatis file diagnostik
    grace:UploadFileByOSSMengunggah file ke ATP menggunakan Object Storage Service (OSS)Mengunggah file diagnostik ke ATP melalui OSS
    grace:UploadFileByURLMengunggah file ke ATP dengan menentukan URLMengunggah file diagnostik ke ATP melalui URL