Izin kluster dan sumber daya cloud - Container Service for Kubernetes

Secara default, pengguna Resource Access Management (RAM) dan peran RAM tidak memiliki izin untuk memanggil OpenAPI layanan Alibaba Cloud. Anda harus memberikan kebijakan sistem atau kebijakan kustom kepada pengguna RAM atau peran RAM agar dapat memanggil OpenAPI Container Service for Kubernetes (ACK). Topik ini menjelaskan cara memberikan izin pada kluster dan sumber daya cloud kepada pengguna RAM dan peran RAM.

Memberikan izin menggunakan kebijakan sistem

Kebijakan sistem memberikan izin baca dan tulis pada sumber daya global. Anda dapat menggunakan kebijakan sistem untuk otorisasi cepat jika pengguna RAM atau peran RAM memerlukan izin manajemen operasi pada semua kluster dalam Akun Alibaba Cloud Anda. Tabel berikut mencantumkan kebijakan sistem umum untuk ACK.

Penting

Izin akses penuh dalam kebijakan sistem menimbulkan risiko keamanan tinggi. Berikan izin ini dengan hati-hati.

Klik untuk melihat kebijakan sistem umum untuk ACK

Nama kebijakan sistem	Deskripsi
AliyunCSFullAccess	Memberikan izin akses kepada pengguna RAM atau peran RAM untuk semua operasi OpenAPI ACK. Catatan Kebijakan sistem ini hanya mencakup otorisasi RAM untuk ACK. Untuk melakukan O&M pada aplikasi dalam kluster ACK, Anda juga harus memberikan otorisasi RBAC. Untuk informasi selengkapnya, lihat Otorisasi RBAC.
AliyunVPCReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM memilih VPC tertentu saat membuat kluster.
AliyunECSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM menambahkan node yang sudah ada ke kluster atau melihat detail node.
AliyunContainerRegistryFullAccess	Memungkinkan pengguna RAM atau peran RAM mengelola citra bisnis secara global dalam akun Alibaba Cloud.
AliyunLogReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM memilih proyek Log Service yang sudah ada untuk menyimpan log audit saat membuat kluster, atau melihat pemeriksaan konfigurasi untuk kluster tertentu.
AliyunAHASReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM menggunakan fitur topologi kluster.
AliyunRAMFullAccess	Memungkinkan pengguna RAM atau peran RAM mengelola otorisasi global dalam akun Alibaba Cloud.
AliyunYundunSASReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM melihat pemantauan keamanan waktu proses untuk kluster tertentu.
AliyunARMSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM melihat status pemantauan plugin Prometheus untuk kluster.
AliyunKMSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM mengaktifkan enkripsi untuk rahasia saat diam ketika membuat kluster Pro.
AliyunESSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM melakukan operasi pada kelompok node, seperti melihat, mengedit, dan penskalaan.

Catatan

Akun Alibaba Cloud memiliki izin manajemen penuh atas sumber daya dalam akun tersebut. Anda juga dapat membuat pengguna RAM, memberikan izin AdministratorAccess, dan menggunakannya sebagai administrator akun. Administrator ini dapat mengelola semua sumber daya cloud di bawah akun tersebut. Untuk informasi selengkapnya, lihat Membuat pengguna RAM sebagai administrator akun.

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Add Permissions, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku pada Akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku pada kelompok sumber daya tertentu.
    Penting
    Jika Anda memilih Resource Group untuk parameter Resource Scope, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang bekerja dengan Resource Group. Untuk informasi selengkapnya tentang cara memberikan izin pada kelompok sumber daya, lihat Menggunakan kelompok sumber daya untuk memberikan izin pengguna RAM mengelola Instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang akan diberikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Pilih kebijakan sistem yang akan diberikan.
4. Klik Confirm.
Klik Close.

Memberikan izin menggunakan kebijakan kustom

Kebijakan kustom menyediakan kontrol akses detail halus terhadap sumber daya cloud untuk pengguna RAM atau peran RAM. Sumber daya cloud yang berbeda mungkin memiliki persyaratan keamanan dan kontrol akses yang berbeda. Untuk menerapkan kontrol akses detail halus—misalnya, membatasi izin pengguna hanya pada kluster tertentu—Anda dapat membuat kebijakan kustom. Jika pengguna RAM atau peran RAM memerlukan pengembangan kustom berdasarkan kit pengembangan perangkat lunak (SDK), Anda juga dapat menerapkan kontrol izin tingkat API. Untuk informasi tentang item otorisasi yang didukung oleh RAM, lihat Informasi otorisasi.

Catatan

Sebelum membuat kebijakan kustom, Anda harus memahami struktur dasar dan sintaks bahasa kebijakan. Untuk informasi selengkapnya, lihat Elemen dasar kebijakan akses.

Langkah 1: Membuat kebijakan kustom

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Policies.
Pada halaman Policies, klik Create Policy.

Pada halaman Create Policy, klik tab Script dan masukkan isi kebijakan Anda.

{
 "Statement": [{
     "Action": [
         "cs:Get*",
         "cs:List*",
         "cs:Describe*",
         "cs:ScaleCluster",
         "cs:DeleteCluster"
     ],
     "Effect": "Allow",
     "Resource": [
         "acs:cs:*:*:cluster/cluster-id"
     ]
 }],
 "Version": "1"
}

Parameter

Deskripsi

Action

Izin yang diberikan. Semua tindakan mendukung karakter wildcard (*).

Resource

Anda dapat mengonfigurasi parameter ini dengan cara berikut. Ganti cluster-id dengan ID kluster aktual Anda.

Memberikan izin ke satu Kluster

"Resource": [
     "acs:cs:*:*:cluster/cluster-id"
 ]

Berikan izin ke beberapa kluster

"Resource": [
     "acs:cs:*:*:cluster/cluster-id",
     "acs:cs:*:*:cluster/cluster-id"
 ]

Berikan izin ke semua kluster
```
"Resource": [
     "*"
 ]
```

Pada halaman Create Policy, klik OK.
Pada kotak dialog Create Policy, masukkan Policy Name dan Note, lalu klik OK.

Langkah 2: Memberikan kebijakan kustom kepada pengguna RAM atau peran RAM

Prosedur pemberian kebijakan kustom sama dengan prosedur pemberian kebijakan sistem. Saat memilih kebijakan, pilih kebijakan kustom yang telah Anda buat. Untuk informasi selengkapnya, lihat Memberikan izin menggunakan kebijakan sistem.

Contoh otorisasi kebijakan kustom

Contoh 1: Memberikan izin read-only ke kluster tertentu

{
  "Statement": [
    {
      "Action": [
        "cs:Get*",
        "cs:List*",
        "cs:Describe*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cs:*:*:cluster/<your-cluster-id>" # ID kluster target.
      ]
    }
  ],
  "Version": "1"
}

Contoh 2: Memberikan izin baca ke bucket OSS tertentu

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                      "oss:ListBuckets",
                      "oss:GetBucketStat",
                      "oss:GetBucketInfo",
                      "oss:GetBucketTagging",
                      "oss:GetBucketAcl" 
                      ],    
            "Resource": "acs:oss:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:ListObjects",
                "oss:GetBucketAcl"
            ],
            "Resource": "acs:oss:*:*:myphotos"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:GetObject",
                "oss:GetObjectAcl"
            ],
            "Resource": "acs:oss:*:*:myphotos/*"
        }
    ]
}

Contoh 3: Memberikan izin untuk operasi OpenAPI yang tidak mendukung pembatasan tingkat kluster

Beberapa operasi OpenAPI, seperti DescribeEvents, tidak mendukung otorisasi tingkat kluster. Untuk memberikan izin kepada pengguna RAM atau peran RAM pada operasi ini, jangan tentukan ID kluster dalam elemen Resource. Tabel berikut membandingkan kebijakan akses RAM sebelum dan sesudah modifikasi.

Kebijakan akses RAM sebelum modifikasi

Kebijakan akses RAM setelah modifikasi

{
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}

{
    "Statement": [
        {
            "Action": [
                "cs:DescribeEvents"
            ],
            "Effect": "Allow",
            "Resource": [
              "*"
            ]
        },
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}

Langkah selanjutnya

Setelah memberikan otorisasi RAM, Anda harus mengonfigurasi otorisasi RBAC untuk mengakses sumber daya Kubernetes dalam kluster. Untuk informasi selengkapnya, lihat Menggunakan RBAC untuk mengotorisasi operasi pada sumber daya dalam kluster.
Untuk meningkatkan keamanan aplikasi yang berjalan dalam kluster ACK dan mengakses layanan Alibaba Cloud lainnya, Anda dapat mengonfigurasi izin RAM untuk ServiceAccount guna mengisolasi izin pod menggunakan RRSA. Untuk informasi selengkapnya, lihat Menggunakan RRSA untuk mengonfigurasi izin RAM untuk ServiceAccount dan mengisolasi izin pod.
Untuk otorisasi RAM detail halus, lihat Menerapkan pengelolaan izin detail halus menggunakan tag dan Secara manual mengkonvergen izin Peran RAM Worker untuk kluster ACK yang dikelola.
Untuk informasi tentang cara menyelesaikan masalah yang mungkin terjadi selama proses otorisasi, lihat FAQ manajemen otorisasi.