All Products
Search

This Product

    Container Service for Kubernetes:Batasi izin peran RAM node pekerja

    Document Center

    Container Service for Kubernetes:Batasi izin peran RAM node pekerja

    Last Updated:May 22, 2026

    Batasi izin peran Resource Access Management (RAM) yang ditetapkan pada node pekerja berdasarkan prinsip hak istimewa minimal untuk meningkatkan keamanan kluster ACK yang dikelola Anda.

    Penting

    Memodifikasi kebijakan RAM dapat menyebabkan kegagalan aplikasi atau add-on jika izin yang diperlukan dihapus. Uji di lingkungan staging sebelum menerapkan perubahan ke produksi.

    Prasyarat

    Sebelum memulai, pastikan Anda telah:

    Langkah 1: Evaluasi izin saat ini

    Tentukan apakah peran RAM node pekerja memiliki izin berlebih yang perlu dibatasi.

    1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.

    2. Pada halaman Clusters, klik nama kluster target. Pada tab Basic Information, klik tautan di samping Worker RAM Role.

    3. Di Konsol RAM, buka tab Permissions pada halaman Role.

      • Jika tidak ada kebijakan yang dilampirkan, tidak diperlukan tindakan lebih lanjut. Peran RAM node pekerja tidak memiliki izin tambahan.

      • Jika terdapat kebijakan yang dilampirkan (misalnya, k8sWorkerRolePolicy-db8ad5c7***), peran tersebut mungkin memiliki izin lebih dari yang diperlukan. Evaluasi sesuai kebutuhan bisnis Anda berdasarkan prinsip hak istimewa minimal, lalu lanjutkan ke langkah berikutnya.

    Catatan

    Tinjau setiap kebijakan yang dilampirkan untuk mengidentifikasi tindakan API Alibaba Cloud yang diberikan. Hal ini menetapkan garis dasar sebelum Anda melakukan perubahan.

    Langkah 2: Upgrade add-on

    Dahulu, add-on ACK mengandalkan peran RAM node pekerja untuk mengakses resource cloud. Add-on ACK saat ini menggunakan autentikasi berbasis token (peran layanan yang dikelola). Upgrade add-on kluster Anda dan analisis log audit untuk menghapus izin yang tidak diperlukan dari peran RAM node pekerja serta membatasi dampak potensi insiden keamanan.

    Penting

    Upgrade add-on satu per satu. Pastikan setiap upgrade berhasil sebelum memulai yang berikutnya. Baca catatan untuk setiap add-on sebelum melakukan upgrade.

    Untuk informasi selengkapnya, lihat Kelola add-on.

    Add-on yang diinstal melalui Add-ons

    Pada halaman Add-ons, upgrade setiap add-on yang terinstal ke versi minimum yang ditunjukkan di bawah ini. Untuk add-on yang sudah berada pada atau di atas versi minimum, redeploy menggunakan perintah yang tercantum dalam tabel, atau redeploy melalui konsol.

    Pemantauan dan observabilitas

    Add-on

    Versi minimum

    Perintah redeploy

    Catatan

    metrics-server

    v0.3.9.4-ff225cd-aliyun

    kubectl -n kube-system rollout restart deployment/metrics-server

    Tidak ada

    alicloud-monitor-controller

    v1.5.5

    kubectl -n kube-system rollout restart deployment/alicloud-monitor-controller

    Tidak ada

    arms-prometheus

    1.1.11

    kubectl -n arms-prom rollout restart deployment/arms-prometheus-ack-arms-prometheus

    Tidak ada

    ack-cost-exporter

    1.0.10

    kubectl -n kube-system rollout restart deployment/ack-cost-exporter

    Sebelum upgrade, berikan izin untuk peran cost yang dikelola.

    ack-node-problem-detector

    1.2.16

    kubectl -n kube-system rollout restart deployment/ack-node-problem-detector-eventer

    Tidak ada

    Jaringan

    Add-on

    Versi minimum

    Redeploy command

    Catatan

    terway

    v1.0.10.333-gfd2b7b8-aliyun

    kubectl -n kube-system rollout restart daemonset/terway

    Upgrade Terway sesuai mode Terway kluster Anda. Untuk informasi selengkapnya, lihat Gunakan plug-in jaringan Terway. Setelah upgrade, periksa konfigurasi Terway.

    terway-eni

    v1.0.10.333-gfd2b7b8-aliyun

    kubectl -n kube-system rollout restart daemonset/terway-eni

    Lihat catatan untuk terway.

    terway-eniip

    v1.0.10.333-gfd2b7b8-aliyun

    kubectl -n kube-system rollout restart daemonset/terway-eniip

    Lihat catatan untuk terway.

    terway-controlplane

    v1.2.1

    kubectl -n kube-system rollout restart deployment/terway-controlplane

    Tidak ada

    mse-ingress-controller

    1.1.5

    kubectl -n mse-ingress-controller rollout restart deployment/ack-mse-ingress-controller

    Sebelum upgrade, berikan izin untuk peran Microservices Engine (MSE) yang dikelola.

    Penyimpanan

    Add-on

    Versi minimum

    Redeploy command

    Catatan

    csi-plugin

    v1.18.8.45-1c5d2cd1-aliyun

    kubectl -n kube-system rollout restart daemonset/csi-plugin

    Tidak ada

    csi-provisioner

    v1.18.8.45-1c5d2cd1-aliyun

    kubectl -n kube-system rollout restart deployment/csi-provisioner

    Tidak ada

    storage-operator

    v1.18.8.55-e398ce5-aliyun

    kubectl -n kube-system rollout restart deployment/storage-auto-expander
    kubectl -n kube-system rollout restart deployment/storage-cnfs
    kubectl -n kube-system rollout restart deployment/storage-monitor
    kubectl -n kube-system rollout restart deployment/storage-snapshot-manager
    kubectl -n kube-system rollout restart deployment/storage-operator

    Tidak ada

    alicloud-disk-controller

    v1.14.8.51-842f0a81-aliyun

    kubectl -n kube-system rollout restart deployment/alicloud-disk-controller

    Tidak ada

    flexvolume

    v1.14.8.109-649dc5a-aliyun

    kubectl -n kube-system rollout restart daemonset/flexvolume

    Migrasikan FlexVolume ke CSI.

    Pencatatan log

    Add-on

    Versi minimum

    Redeploy command

    Catatan

    logtail-ds

    v1.0.29.1-0550501-aliyun

    kubectl -n kube-system rollout restart daemonset/logtail-ds
    kubectl -n kube-system rollout restart deployment/alibaba-log-controller

    Tidak ada

    loongcollector

    v3.0.2

    kubectl -n kube-system rollout restart daemonset/loongcollector-ds
    kubectl -n kube-system rollout restart deployment/loongcollector-operator

    Tidak ada

    Keamanan dan manajemen gambar

    Add-on

    Versi minimum

    Redeploy command

    Catatan

    aliyun-acr-credential-helper

    v23.02.06.2-74e2172-aliyun

    kubectl -n kube-system rollout restart deployment/aliyun-acr-credential-helper

    Sebelum upgrade, berikan izin untuk peran Container Registry (ACR) yang dikelola. Jika Anda tidak memiliki izin RAM kustom dan tidak perlu menarik gambar lintas akun, buka Add-ons dan atur tokenMode ke managedRole. Jika Anda tidak memerlukan penarikan gambar privat tanpa kredensial, uninstal add-on ini.

    ack-onepilot

    3.0.11

    kubectl -n ack-onepilot rollout restart deployment/ack-onepilot-ack-onepilot

    Sebelum upgrade, berikan izin untuk peran MSE yang dikelola.

    Cluster Autoscaler (diinstal melalui kelompok node)

    Add-on

    Versi minimum

    Perintah redeploy

    Catatan

    cluster-autoscaler

    v1.3.1-bcf13de9-aliyun

    kubectl -n kube-system rollout restart deployment/cluster-autoscaler

    Untuk memeriksa versi saat ini, gunakan salah satu metode berikut:

    Periksa konfigurasi Terway

    Jika kluster Anda memiliki terway, terway-eni, atau terway-eniip yang terinstal, verifikasi bahwa ConfigMap Terway berisi jalur kredensial yang benar.

    1. Jalankan perintah berikut untuk mengedit ConfigMap Terway:

         kubectl edit cm eni-config -n kube-system

    2. Pada bagian eni_conf, periksa baris berikut:

         "credential_path": "/var/addon/token-config",

      • Jika baris ini ada, tidak perlu perubahan.

      • Jika baris ini tidak ada, tambahkan di bawah konfigurasi min_pool_size.

    3. Redeploy beban kerja Terway dengan menjalankan perintah redeploy yang sesuai dari tabel jaringan di atas.

    Langkah 3: Kumpulkan log audit

    Siapkan pencatatan log audit untuk melacak operasi API Alibaba Cloud mana saja yang dilakukan oleh peran RAM node pekerja. Data ini memberi tahu Anda izin mana yang masih digunakan dan mana yang dapat dihapus dengan aman.

    Catatan

    Kumpulkan log audit setidaknya selama satu minggu.

    1. Masuk ke Konsol ActionTrail.

    2. Buat jejak akun tunggal untuk wilayah tempat kluster berada. Saat membuat jejak, pilih Delivery to Log Service. Untuk informasi selengkapnya, lihat Buat jejak akun tunggal.

    Untuk daftar lengkap layanan yang didukung ActionTrail, lihat Layanan Alibaba Cloud yang didukung.

    Langkah 4: Uji fitur kluster

    Setelah upgrade add-on dan redeploy beban kerja, verifikasi bahwa fitur inti kluster tetap berfungsi dengan baik.

    Kategori

    Kasus uji

    Referensi

    Compute

    Skalakan node keluar dan masuk.

    Skalakan kelompok node secara manual

    Jaringan

    Verifikasi bahwa alamat IP diberikan ke pod.

    Penyebaran dan rilis

    Penyimpanan

    Deploy beban kerja yang menggunakan penyimpanan eksternal (jika berlaku).

    Penyimpanan - CSI

    Pemantauan

    Konfirmasi bahwa data pemantauan dan peringatan tersedia.

    Observabilitas

    Elastisitas

    Picu penyesuaian otomatis node (jika berlaku).

    Aktifkan penyesuaian otomatis node

    Keamanan

    Tarik gambar privat tanpa kredensial (jika berlaku).

    Gunakan aliyun-acr-credential-helper untuk menarik gambar tanpa menggunakan rahasia

    Penting

    Selain pengujian di atas, uji juga logika bisnis aplikasi yang dideploy di kluster Anda.

    Langkah 5: Analisis log audit

    Setelah mengumpulkan log selama minimal satu minggu, kueri data tersebut untuk mengidentifikasi operasi API mana saja yang dilakukan oleh peran RAM node pekerja.

    1. Masuk ke Konsol Simple Log Service (SLS).

    2. Pada bagian Projects, klik proyek yang Anda tentukan di Langkah 3.

      image

    3. Pada tab Log Storage > Logstore, klik Logstore tujuan. Logstore tersebut bernama actiontrail_<trail_name>.

    4. Jalankan kueri berikut untuk mencantumkan operasi API yang dipanggil melalui token Security Token Service (STS) dari peran RAM node pekerja. Ganti <worker_role_name> dengan nama peran RAM node pekerja kluster Anda. Hasilnya menunjukkan layanan dan operasi API Alibaba Cloud mana saja yang sedang dipanggil. Gunakan data ini di Langkah 6 untuk menentukan izin mana yang harus dipertahankan dan mana yang harus dihapus.

         * and event.userIdentity.userName: <worker_role_name> | select "event.serviceName", "event.eventName", count(*) as total GROUP BY "event.eventName", "event.serviceName"

    Langkah 6: Hapus izin yang tidak digunakan

    Berdasarkan analisis log audit, hapus izin yang tidak diperlukan oleh peran RAM node pekerja.

    1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.

    2. Pada halaman Clusters, klik nama kluster target. Pada tab Basic Information, klik tautan di samping Worker RAM Role.

    3. Pada tab Permissions pada halaman Role, klik kebijakan akses tujuan untuk membuka tab Policy Content. Klik Modify Policy.

      Penting

      Sebelum memodifikasi isi kebijakan, buat cadangannya. Hal ini memungkinkan Anda mengembalikan konfigurasi izin jika diperlukan.

    4. Hapus izin yang tidak diperlukan berdasarkan analisis log audit dari Langkah 5. Misalnya, hapus izin Action dari kebijakan yang tidak dipanggil selama periode audit Anda. Jika kueri tidak menghasilkan data, Anda dapat melepas seluruh kebijakan dari peran tersebut dengan aman.

    5. Redeploy beban kerja menggunakan perintah yang tercantum di Langkah 2.

    6. Ulangi Langkah 4, 5, dan 6 hingga peran RAM node pekerja hanya memiliki izin minimum yang dibutuhkan oleh add-on atau aplikasi.

    Referensi