全部产品
Search

搜索本产品

    Container Service for Kubernetes:Manajemen Sumber Daya Terperinci Klaster ACK dengan Menggunakan Grup Sumber Daya

    文档中心

    Container Service for Kubernetes:Manajemen Sumber Daya Terperinci Klaster ACK dengan Menggunakan Grup Sumber Daya

    更新时间:Jul 06, 2025

    Untuk mengelola sumber daya Container Service for Kubernetes (ACK) secara lebih efisien, Anda dapat menggunakan grup sumber daya untuk mengelompokkan sumber daya ke dalam grup dan mengelola grup tersebut. Grup sumber daya memungkinkan pengelompokan berdasarkan departemen, proyek, atau lingkungan, serta menggunakan Resource Access Management (RAM) untuk mengisolasi sumber daya dan mengelola izin secara terperinci dalam satu akun Alibaba Cloud. Topik ini menjelaskan dukungan klaster ACK untuk grup sumber daya dan cara mengelompokkan sumber daya ACK ke dalam grup serta mengotorisasi grup sumber daya.

    Istilah

    • Grup sumber daya

      Grup Sumber Daya memungkinkan Anda mengelompokkan sumber daya yang dimiliki oleh akun Alibaba Cloud ke dalam grup. Ini membantu menangani masalah kompleks seperti pengelompokan sumber daya, manajemen izin, dan alokasi biaya dalam akun Alibaba Cloud. Misalnya, Anda dapat membuat grup sumber daya sesuai dengan proyek tertentu dan mentransfer sumber daya terkait ke grup masing-masing untuk pengelolaan terpusat. Untuk informasi lebih lanjut, lihat Apa itu Grup Sumber Daya? dan Praktik Terbaik untuk Merancang Grup Sumber Daya.

    • Otorisasi tingkat grup sumber daya

      Setelah mengklasifikasikan sumber daya ke dalam grup sumber daya, Anda dapat menggunakan RAM untuk memberikan izin grup sumber daya tertentu kepada entitas otorisasi RAM (seperti pengguna RAM, grup pengguna RAM, atau peran RAM), sehingga membatasi kemampuan mereka dalam mengelola sumber daya di grup sumber daya tertentu. Metode otorisasi ini sangat skalabel. Saat sumber daya baru ditambahkan, Anda hanya perlu menambahkannya ke grup sumber daya yang sesuai tanpa harus memodifikasi kebijakan izin. Untuk informasi lebih lanjut, lihat Klasifikasikan Sumber Daya ke dalam Grup Sumber Daya dan Berikan Izin pada Grup Sumber Daya.

    Prosedur untuk otorisasi tingkat grup sumber daya

    Contoh berikut menjelaskan cara memberikan izin kepada pengguna RAM untuk mengelola sumber daya klaster ACK dalam grup sumber daya tertentu.

    1. Buat pengguna RAM di Konsol RAM.

      Untuk informasi lebih lanjut tentang cara membuat pengguna RAM, lihat Buat Pengguna RAM.

    2. Buat grup sumber daya di Konsol Manajemen Sumber Daya.

      Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.

    3. Kelompokkan sumber daya ke dalam grup sumber daya.

      • Jika ingin membuat sumber daya baru, tentukan grup sumber daya tempat Anda ingin menambahkan sumber daya tersebut.

      • Jika ingin menggunakan sumber daya yang sudah ada, transfer sumber daya tersebut ke grup sumber daya yang sesuai. Untuk informasi lebih lanjut, lihat Lakukan Transfer Sumber Daya Manual Lintas Grup Sumber Daya.

    4. Masuk ke Konsol RAM dan buat kebijakan kustom.

      Kebijakan kustom yang dibuat harus mencakup izin operasi yang diperlukan oleh pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom. Jika ingin melampirkan kebijakan sistem ke pengguna RAM, lewati langkah ini.

      Dalam lingkungan bisnis sebenarnya, kami sarankan memberikan izin minimal kepada pengguna RAM berdasarkan prinsip hak istimewa minimal. Hal ini mencegah risiko keamanan yang disebabkan oleh izin berlebihan.

      Contoh kebijakan kustom:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cs:DescribeClusterDetail"],
      "Resource": "*"
    }
  ]
}

    5. Lampirkan kebijakan kustom dengan ruang lingkup efektif grup sumber daya ke pengguna RAM.

      Anda dapat memberikan izin kepada pengguna RAM dengan salah satu metode berikut:

    Penting

    Tipe sumber daya yang mendukung grup sumber daya

    Tabel berikut mencantumkan tipe sumber daya yang mendukung grup sumber daya di ACK.

    Nama layanan

    Kode layanan

    Tipe sumber daya

    ACK

    cs

    cluster: cluster

    Catatan

    Jika memerlukan tipe sumber daya yang tidak mendukung grup sumber daya, Anda dapat submit a ticket.

    Tindakan yang tidak mendukung otorisasi tingkat grup sumber daya

    Tabel berikut mencantumkan tindakan yang tidak mendukung otorisasi sumber daya tingkat grup di ACK. Untuk informasi tentang kebijakan otorisasi, lihat bagian Contoh Kebijakan Kustom dari topik ini.

    Tindakan

    Deskripsi

    cs:OpenAckService

    Aktifkan ACK

    cs:ListOperationPlans

    Kueri jadwal O&M otomatis klaster

    cs:CancelOperationPlan

    Batalkan rencana O&M otomatis yang tertunda

    cs:DescribeTaskInfo

    Kueri detail tugas

    cs:PauseTask

    Jeda tugas

    cs:CancelTask

    Batalkan tugas

    cs:ResumeTask

    Pulihkan tugas

    cs:CreateKubernetesTrigger

    Buat pemicu aplikasi

    cs:DeleteTriggerHook

    Hapus pemicu

    cs:CreateTemplate

    Buat template orkestrasi

    cs:DeleteTemplate

    Hapus template orkestrasi

    cs:UpdateTemplate

    Perbarui template orkestrasi

    cs:DescribeTemplates

    Kueri semua template orkestrasi

    cs:DescribeTemplateAttribute

    Kueri detail template orkestrasi

    cs:ListUserKubeConfigStates

    Kueri daftar status KubeConfig semua klaster yang dimiliki oleh pengguna tertentu

    cs:ListAddons

    Kueri daftar komponen yang tersedia

    cs:DescribeAddon

    Kueri informasi tentang komponen tertentu

    cs:DescribeAddons

    Kueri informasi tentang semua komponen

    cs:DescribeEvents

    Kueri detail acara

    cs:DescribeEventsForRegion

    Kueri acara di wilayah tertentu

    cs:DescribeKubernetesVersionMetadata

    Kueri detail versi Kubernetes

    cs:CheckServiceRole

    Periksa apakah peran layanan tertentu telah ditetapkan

    cs:DescribePatternTypes

    Kueri tipe instans

    cs:CheckUserClustersActivity

    Periksa status aktif pengguna di klaster tertentu

    cs:CreateSessionMessage

    Buat sesi Asisten AI ACK

    cs:UpdateMessageFeedback

    Perbarui umpan balik pesan Asisten AI ACK

    cs:DescribeKubeConfigManagementTaskList

    Daftar tugas terkait file kubeconfig

    cs:ListHaveKubeconfigDeletedAccounts

    Kueri pengguna yang akunnya telah menghapus pengguna RAM atau peran RAM, tetapi file kubeconfig mereka masih aktif.

    cs:ListKubeConfigRecycle

    Daftar file kubeconfig di tempat sampah dalam akun Alibaba Cloud saat ini

    cs:RestoreKubeConfigRecycleItem

    Pulihkan file kubeconfig yang dihapus dari tempat sampah

    cs:RestoreMultiKubeConfigRecycleItems

    Pulihkan file kubeconfig yang dihapus secara batch dari tempat sampah

    cs:DeleteKubeConfigRecycleItem

    Hapus permanen file kubeconfig dari tempat sampah

    cs:DescribeKubernetesVersionMetadata

    Kueri detail versi Kubernetes

    cs:DescribePolicies

    Kueri daftar kebijakan

    cs:DescribePolicyDetails

    Kueri detail kebijakan tertentu

    cs:DescribeUserInstances

    Peroleh daftar node yang diperlukan untuk menambahkan node yang sudah ada

    cs:DescribeUserPermission

    Kueri izin pengguna RAM atau peran RAM

    cs:UpdateUserPermissions

    Perbarui izin Role-Based Access Control (RBAC) pengguna RAM atau peran RAM tertentu

    cs:CleanUserPermissions

    Bersihkan sertifikat pengguna tertentu dan izin RBAC terkait

    cs:QueryAlertContact

    Kueri kontak peringatan

    cs:AddOrUpdateAlertContact

    Perbarui kontak peringatan

    cs:DeleteAlertContact

    Hapus kontak peringatan

    cs:QueryAlertContactGroup

    Kueri grup kontak peringatan

    cs:AddOrUpdateAlertContactGroup

    Perbarui grup kontak peringatan

    cs:DeleteAlertContactGroup

    Hapus grup kontak peringatan

    cs:DescribeUserQuota

    Kueri informasi kuota

    cs:ListOperationPlans

    Kueri daftar rencana tugas O&M otomatis

    cs:CancelOperationPlan

    Batalkan rencana tugas O&M otomatis

    cs:DescribeTasks

    Kueri daftar tugas

    Untuk informasi lebih lanjut tentang otorisasi RAM di ACK, lihat Otorisasi RAM.

    Contoh kebijakan kustom

    Penting

    Pengguna RAM atau peran RAM yang memiliki izin tingkat akun dapat melakukan operasi pada sumber daya dalam seluruh akun. Pastikan bahwa izin yang diberikan kepada pengguna RAM atau peran RAM memenuhi harapan Anda dan mengikuti prinsip hak istimewa minimal.

    Untuk tipe sumber daya yang tidak mendukung grup sumber daya, izin yang diberikan ke grup sumber daya tidak berlaku. Anda harus membuat kebijakan kustom dan mengatur parameter Ruang Lingkup Sumber Daya ke Account di Konsol RAM.

    image

    Kode sampel berikut memberikan contoh dua kebijakan kustom. Anda dapat memodifikasi isi kebijakan berdasarkan kebutuhan bisnis Anda.

    • Kebijakan kustom berikut mengizinkan operasi baca-saja yang tidak mendukung otorisasi tingkat grup sumber daya.

      Dalam kebijakan kustom, bidang Action mencakup semua operasi baca-saja yang tidak mendukung otorisasi tingkat grup sumber daya.

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cs:DescribeAddon",
        "cs:DescribeAddons",
        "cs:DescribeEvents",
        "cs:DescribeEventsForRegion",
        "cs:DescribeKubeConfigManagementTaskList",
        "cs:DescribeKubernetesVersionMetadata",
        "cs:DescribePatternTypes",
        "cs:DescribePolicies",
        "cs:DescribePolicyDetails",
        "cs:DescribeTaskInfo",
        "cs:DescribeTemplateAttribute",
        "cs:DescribeTemplates",
        "cs:DescribeUserInstances",
        "cs:DescribeUserPermission",
        "cs:ListAddons",
        "cs:ListHaveKubeconfigDeletedAccounts",
        "cs:ListKubeConfigRecycle",
        "cs:ListOperationPlans",
        "cs:ListUserKubeConfigStates",
        "cs:QueryAlertContact",
        "cs:QueryAlertContactGroup",
        "cs:CheckServiceRole",
        "cs:DescribeTasks",
        "cs:DescribeUserQuota",
        "cs:ListOperationPlans",
        "cs:CheckUserClustersActivity"
      ],
      "Resource": "*"
    }
  ]
}

    • Kebijakan kustom berikut mengizinkan semua operasi yang tidak mendukung otorisasi tingkat grup sumber daya.

      Dalam kebijakan kustom, bidang Action mencakup semua operasi yang tidak mendukung otorisasi tingkat grup sumber daya.

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cs:AddOrUpdateAlertContact",
        "cs:AddOrUpdateAlertContactGroup",
        "cs:CancelOperationPlan",
        "cs:CancelTask",
        "cs:CheckServiceRole",
        "cs:CheckUserClustersActivity",
        "cs:CleanUserPermissions",
        "cs:CreateKubernetesTrigger",
        "cs:CreateSessionMessage",
        "cs:CreateTemplate",
        "cs:DeleteAlertContact",
        "cs:DeleteAlertContactGroup",
        "cs:DeleteKubeConfigRecycleItem",
        "cs:DeleteTemplate",
        "cs:DeleteTriggerHook",
        "cs:DescribeAddon",
        "cs:DescribeAddons",
        "cs:DescribeEvents",
        "cs:DescribeEventsForRegion",
        "cs:DescribeKubeConfigManagementTaskList",
        "cs:DescribeKubernetesVersionMetadata",
        "cs:DescribePatternTypes",
        "cs:DescribePolicies",
        "cs:DescribePolicyDetails",
        "cs:DescribeTaskInfo",
        "cs:DescribeTemplateAttribute",
        "cs:DescribeTemplates",
        "cs:DescribeUserInstances",
        "cs:DescribeUserPermission",
        "cs:ListAddons",
        "cs:ListHaveKubeconfigDeletedAccounts",
        "cs:ListKubeConfigRecycle",
        "cs:ListOperationPlans",
        "cs:ListUserKubeConfigStates",
        "cs:OpenAckService",
        "cs:DescribeTasks",
        "cs:PauseTask",
        "cs:QueryAlertContact",
        "cs:QueryAlertContactGroup",
        "cs:RestoreKubeConfigRecycleItem",
        "cs:RestoreMultiKubeConfigRecycleItems",
        "cs:ResumeTask",
        "cs:UpdateMessageFeedback",
        "cs:DescribeUserQuota",
        "cs:ListOperationPlans",
        "cs:CancelOperationPlan",
        "cs:UpdateTemplate",
        "cs:UpdateUserPermissions"
      ],
      "Resource": "*"
    }
  ]
}