Berikan akses ke kluster dan resource cloud menggunakan RAM-Container Service for Kubernetes-Alibaba Cloud

Secara default, pengguna Resource Access Management (RAM) dan peran RAM tidak memiliki izin untuk memanggil OpenAPI layanan Alibaba Cloud. Berikan kebijakan sistem atau kebijakan kustom kepada pengguna RAM atau peran RAM agar mereka dapat memanggil operasi OpenAPI Container Service for Kubernetes (ACK). Topik ini menjelaskan cara memberikan izin tingkat kluster dan tingkat sumber daya cloud kepada pengguna RAM dan peran RAM.

Berikan izin menggunakan kebijakan sistem

Kebijakan sistem adalah kebijakan izin yang telah ditentukan sebelumnya untuk memberikan akses baca atau tulis ke sumber daya global. Gunakan kebijakan sistem untuk otorisasi cepat ketika pengguna RAM atau peran RAM memerlukan izin manajemen operasi pada semua kluster di bawah Akun Alibaba Cloud Anda.

Penting

Izin akses penuh dalam kebijakan sistem menimbulkan risiko keamanan tinggi. Berikan dengan hati-hati.

Kebijakan sistem umum

Nama kebijakan sistem	Deskripsi
AliyunCSFullAccess	Memberikan pengguna RAM atau peran RAM akses ke semua operasi OpenAPI ACK. Catatan Kebijakan sistem ini hanya mencakup otorisasi RAM untuk ACK. Untuk melakukan O&M pada aplikasi dalam kluster ACK, Anda juga harus mengonfigurasi otorisasi RBAC. Untuk informasi selengkapnya, lihat Otorisasi RBAC.
AliyunVPCReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM memilih VPC tertentu saat membuat kluster.
AliyunECSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM menambahkan node yang sudah ada ke kluster atau melihat detail node.
AliyunContainerRegistryFullAccess	Memungkinkan pengguna RAM atau peran RAM mengelola gambar bisnis secara global dalam Akun Alibaba Cloud.
AliyunLogReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM memilih proyek Log Service yang sudah ada untuk menyimpan log audit saat membuat kluster, atau melihat pemeriksaan konfigurasi untuk kluster tertentu.
AliyunAHASReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM menggunakan fitur topologi kluster.
AliyunRAMFullAccess	Memungkinkan pengguna RAM atau peran RAM mengelola otorisasi global dalam Akun Alibaba Cloud.
AliyunYundunSASReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM melihat pemantauan keamanan waktu proses untuk kluster tertentu.
AliyunARMSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM melihat status pemantauan plug-in Prometheus untuk kluster.
AliyunKMSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM mengaktifkan enkripsi at rest untuk rahasia saat membuat kluster Pro.
AliyunESSReadOnlyAccess	Memungkinkan pengguna RAM atau peran RAM melakukan operasi kelompok node, seperti melihat, mengedit, dan menskalakan.

Catatan

Akun Alibaba Cloud memiliki izin administratif penuh atas semua sumber daya dalam akun tersebut. Sebagai alternatif, Anda dapat membuat pengguna RAM dan memberikan izin AdministratorAccess untuk menunjuknya sebagai administrator akun. Administrator ini dapat mengelola semua sumber daya cloud dalam akun tersebut. Untuk informasi selengkapnya, lihat Buat pengguna RAM sebagai administrator akun.

Masuk ke RAM console sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permissions, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku pada Akun Alibaba Cloud saat ini.
  - Resource Group: Otorisasi berlaku pada kelompok sumber daya tertentu.
    Penting
    Jika Anda memilih Resource Group untuk parameter Resource Scope, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang bekerja dengan Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk membatasi pengguna RAM agar hanya mengelola instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang akan diberikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Pilih kebijakan sistem yang akan diberikan.
4. Klik Grant Permissions.
Klik Close.

Berikan izin menggunakan kebijakan kustom

Kebijakan kustom menyediakan kontrol akses detail halus terhadap sumber daya cloud. Gunakan kebijakan kustom ketika Anda perlu:

Membatasi izin hanya ke kluster tertentu
Menerapkan kontrol izin tingkat API untuk pengembangan berbasis SDK
Mengontrol akses berdasarkan ID kluster tertentu

Sebelum membuat kebijakan kustom, pahami struktur dan sintaks bahasa kebijakan terlebih dahulu. Untuk informasi selengkapnya, lihat Elemen kebijakan.

Langkah 1: Buat kebijakan kustom

Masuk ke RAM console sebagai pengguna RAM yang memiliki hak administratif.
Di panel navigasi sebelah kiri, pilih Permissions > Policies.
Pada halaman Policies, klik Create Policy.

Pada halaman Create Access Policy, klik tab Script Editor dan masukkan isi kebijakan.

Ganti YOUR_CLUSTER_ID dengan ID kluster target.

{
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*",
                "cs:ScaleCluster",
                "cs:DeleteCluster"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/YOUR_CLUSTER_ID"
            ]
        }
    ],
    "Version": "1"
}

Parameter

Deskripsi

Action

Izin yang diberikan. Semua aksi mendukung karakter wildcard (*).

Resource

Berikan izin ke satu kluster

"Resource": [
     "acs:cs:*:*:cluster/<span class="var-span" contenteditable="true" data-var="YOUR_CLUSTER_ID">YOUR_CLUSTER_ID"</span>
 ]

Berikan izin ke beberapa kluster

"Resource": [
     "acs:cs:*:*:cluster/<span class="var-span" contenteditable="true" data-var="YOUR_CLUSTER_ID_1">YOUR_CLUSTER_ID_1"</span>,
     "acs:cs:*:*:cluster/<span class="var-span" contenteditable="true" data-var="YOUR_CLUSTER_ID_2">YOUR_CLUSTER_ID_2"</span>
 ]

Berikan izin ke semua kluster
```
"Resource": [
     "*"
 ]
```

Pada halaman Create Policy, klik OK.
Di kotak dialog Create Policy, masukkan Policy Name dan Description, lalu klik OK.

Langkah 2: Berikan kebijakan kustom kepada pengguna RAM atau peran RAM

Prosedur pemberian kebijakan kustom sama dengan pemberian kebijakan sistem. Saat memilih kebijakan, pilih kebijakan kustom yang telah Anda buat. Untuk informasi selengkapnya, lihat Berikan izin menggunakan kebijakan sistem.

Contoh otorisasi kebijakan kustom

Contoh 1: Berikan izin read-only ke kluster tertentu

{
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/YOUR_CLUSTER_ID"
            ]
        }
    ],
    "Version": "1"
}

Contoh 2: Berikan izin baca ke bucket OSS tertentu

Ganti YOUR_OSS_BUCKET_NAME dengan nama bucket OSS target.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                      "oss:ListBuckets",
                      "oss:GetBucketStat",
                      "oss:GetBucketInfo",
                      "oss:GetBucketTagging",
                      "oss:GetBucketAcl" 
                      ],    
            "Resource": "acs:oss:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:ListObjects",
                "oss:GetBucketAcl"
            ],
            "Resource": "acs:oss:*:*:<span class="var-span" contenteditable="true" data-var="YOUR_OSS_BUCKET_NAME">YOUR_OSS_BUCKET_NAME"</span>
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:GetObject",
                "oss:GetObjectAcl"
            ],
            "Resource": "acs:oss:*:*:<span class="var-span" contenteditable="true" data-var="YOUR_OSS_BUCKET_NAME">YOUR_OSS_BUCKET_NAME/*"</span>
        }
    ]
}

Contoh 3: Berikan izin untuk operasi OpenAPI yang tidak mendukung pembatasan tingkat kluster

Beberapa operasi OpenAPI, seperti DescribeEvents, tidak mendukung otorisasi tingkat kluster. Jangan tentukan ID kluster di elemen Resource untuk operasi ini.

Kebijakan akses RAM sebelum modifikasi

Kebijakan akses RAM setelah modifikasi

{
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/YOUR_CLUSTER_ID"
            ]
        }
    ],
    "Version": "1"
}

{
    "Statement": [
        {
            "Action": [
                "cs:DescribeEvents"
            ],
            "Effect": "Allow",
            "Resource": [
              "*"
            ]
        },
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/<span class="var-span" contenteditable="true" data-var="YOUR_CLUSTER_ID">YOUR_CLUSTER_ID"</span>
            ]
        }
    ],
    "Version": "1"
}

Langkah selanjutnya

Setelah memberikan otorisasi RAM, konfigurasikan otorisasi RBAC untuk mengakses sumber daya Kubernetes dalam kluster. Untuk informasi selengkapnya, lihat Gunakan RBAC untuk mengotorisasi operasi pada sumber daya dalam kluster.
Untuk meningkatkan keamanan aplikasi dalam kluster ACK yang mengakses layanan Alibaba Cloud lainnya, konfigurasikan izin RAM untuk ServiceAccount guna mengisolasi izin pod menggunakan RRSA. Untuk informasi selengkapnya, lihat Gunakan RRSA untuk mengonfigurasi izin RAM untuk ServiceAccount dan mengisolasi izin pod.
Untuk informasi lebih lanjut tentang otorisasi RAM detail halus, lihat Terapkan pengelolaan izin detail halus menggunakan tag dan Konvergenkan secara manual izin peran RAM Worker untuk kluster ACK yang dikelola.
Untuk bantuan mengatasi masalah otorisasi, lihat FAQ manajemen otorisasi.