Kluster ACK yang dikelola secara otomatis membuat peran Resource Access Management (RAM) pekerja default yang digunakan bersama oleh semua node. Jika Anda menggunakan peran RAM pekerja default untuk memberikan izin, izin tersebut akan dibagikan di antara semua node dalam kluster, yang berpotensi memberikan izin lebih luas daripada yang diperlukan. Anda dapat menetapkan peran RAM pekerja kustom ke kelompok node saat pembuatan. Dengan menetapkan peran spesifik ke kelompok node yang berbeda, Anda dapat mengisolasi izin masing-masing kelompok node, sehingga mengurangi risiko seluruh node dalam kluster berbagi izin yang sama.
Prasyarat
Kluster ACK yang dikelola telah dibuat, dan kluster menjalankan Kubernetes 1.22 atau versi yang lebih baru.
Langkah 1: Buat peran RAM
Anda dapat menggunakan Konsol, OpenAPI, atau Terraform untuk membuat peran RAM pekerja.
Nama peran RAM tidak boleh diawali dengan KubernetesMasterRole- atau KubernetesWorkerRole-.
Layanan Tepercaya dari peran RAM harus berupa Elastic Compute Service.
Buat peran RAM di Konsol
Untuk petunjuk cara membuat peran RAM melalui Konsol, lihat Buat peran layanan reguler.
Buat peran RAM melalui OpenAPI atau Terraform
Pastikan bahwa kebijakan kepercayaan dikonfigurasi sebagai berikut saat menggunakan OpenAPI atau Terraform untuk membuat peran RAM. Untuk informasi selengkapnya, lihat Edit kebijakan kepercayaan peran RAM.
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}Langkah 2: Tetapkan peran RAM pekerja saat membuat kelompok node
Anda hanya dapat menetapkan peran RAM pekerja kustom saat membuat kluster atau kelompok node. Anda tidak dapat mengubah peran RAM pekerja dari kelompok node yang sudah ada.
Saat Anda membuat kluster atau kelompok node di Konsol ACK, pada konfigurasi Advanced Options kelompok node, pilih Worker RAM Role sebagai peran kustom yang dibuat di Langkah 1: Buat peran RAM.
Untuk informasi selengkapnya, lihat Opsi lanjutan untuk kelompok node saat membuat kluster dan Konfigurasi lanjutan saat membuat kelompok node.
Berikan izin yang diperlukan kepada Pengguna RAM atau Peran RAM
Saat Anda menggunakan fitur ini sebagai Pengguna RAM atau Peran RAM, Anda juga harus diberikan kebijakan izin ram:PassRole untuk mengizinkan pengguna atau peran tersebut menggunakan peran RAM tertentu sebagai Worker RAM Role. Untuk informasi selengkapnya, lihat Buat kebijakan kustom, Berikan izin kepada Pengguna RAM, dan Berikan izin kepada Peran RAM.
Jika Pengguna RAM atau Peran RAM tersebut telah diberikan izin AliyunCSFullAccess, Anda tidak perlu memberikan izin tambahan ram:PassRole.
Contoh kebijakan izin RAM:
Otorisasi penggunaan peran RAM tertentu | Otorisasi penggunaan semua peran RAM |
Lihat Bagaimana cara melihat ARN peran RAM? untuk mendapatkan ARN peran RAM. | |
Operasi terkait
Secara default, peran RAM tidak memiliki izin apa pun setelah dibuat.
Untuk membuat kebijakan kustom dan memberikan izin melalui Konsol, lihat Buat kebijakan kustom dan Berikan izin kepada Peran RAM.
Untuk membuat kebijakan kustom dan memberikan izin melalui OpenAPI, lihat CreatePolicy - Buat kebijakan izin dan AttachPolicyToRole - Tambahkan izin ke peran tertentu.
Untuk membuat kebijakan kustom dan memberikan izin melalui Terraform, lihat Buat peran RAM dan berikan izin menggunakan Terraform.
Cabut izin yang tidak lagi diperlukan dari peran RAM pekerja sesegera mungkin. Untuk informasi selengkapnya, lihat Cabut izin dari peran RAM.