Izin yang diperlukan untuk menggunakan ACK One - Container Service for Kubernetes

Izin Platform Kontainer Terdistribusi untuk Kubernetes (ACK One) mencakup izin dari peran terkait layanan, kebijakan sistem Resource Access Management (RAM), dan Role-Based Access Control (RBAC). Untuk menggunakan fitur ACK One, Anda harus memberikan izin yang diperlukan kepada akun layanan. Topik ini menjelaskan hubungan antara peran layanan, kebijakan RAM, dan izin RBAC, serta cara memberikan izin yang sesuai kepada akun layanan.

Jenis Izin

Jenis Izin	Memerlukan otorisasi	Deskripsi
Peran terkait layanan	Jika ini pertama kalinya Anda menggunakan ACK One, Anda perlu menyelesaikan otorisasi dengan akun Alibaba Cloud atau administrator akun RAM.	Hanya setelah otorisasi selesai, ACK One dapat mengakses sumber daya di layanan Alibaba Cloud lainnya.
Kebijakan sistem RAM	Anda harus melampirkan kebijakan sistem ke pengguna RAM atau peran RAM. Akun Alibaba Cloud memiliki izin penuh secara default. Tidak diperlukan otorisasi.	Hanya setelah otorisasi selesai, pengguna RAM atau peran RAM dapat menggunakan fitur yang disediakan oleh ACK One.
Izin RBAC	Anda harus memberikan izin RBAC kepada pengguna RAM atau peran RAM. Akun Alibaba Cloud memiliki izin penuh secara default. Tidak diperlukan otorisasi.	Hanya setelah otorisasi selesai, pengguna RAM atau peran RAM dapat mengelola sumber daya Kubernetes dalam kluster ACK One.

Peran terkait layanan

Layanan Alibaba Cloud mungkin memerlukan akses ke layanan lainnya untuk mengimplementasikan fitur tertentu. Dalam hal ini, layanan tersebut harus mengasumsikan peran terkait layanan untuk mengakses layanan lainnya. Peran terkait layanan adalah bagian dari RAM.

Sebagai contoh, setelah membuat kluster alur kerja di ACK One, ACK One memerlukan izin untuk membuat instance kontainer elastis guna menjalankan alur kerja.

ACK One menyediakan peran terkait layanan berikut. Untuk detail lebih lanjut tentang izin yang disediakan oleh peran tersebut, lihat Izin Peran terkait layanan untuk ACK One.

Nama Peran	Izin
AliyunCSDefaultRole	ACK One dapat mengasumsikan peran ini untuk mengakses sumber daya cloud Anda selama manajemen kluster, seperti sumber daya dalam Elastic Compute Service (ECS), Virtual Private Cloud (VPC), Server Load Balancer (SLB), Resource Orchestration Service (ROS), dan Auto Scaling. Untuk menggunakan fitur yang disediakan oleh ACK One, peran ini diperlukan.
AliyunServiceRoleForAdcp	ACK One dapat mengasumsikan peran ini untuk mengakses sumber daya cloud Anda selama manajemen kluster, seperti sumber daya dalam ECS, VPC, dan SLB. Untuk menggunakan fitur yang disediakan oleh ACK One, peran ini diperlukan.
AliyunAdcpServerlessKubernetesRole	Instance fleet dan kluster Kubernetes untuk alur kerja Argo terdistribusi dari ACK One mengasumsikan peran ini untuk mengakses sumber daya cloud dalam VPC, ECS, Alibaba Cloud DNS PrivateZone, Instance Kontainer Elastis, dan Layanan Log Sederhana. Untuk menggunakan fitur yang disediakan oleh ACK One, peran ini diperlukan.
AliyunAdcpManagedMseRole	Instance fleet dari ACK One mengasumsikan peran ini untuk mengakses sumber daya dalam Microservices Engine (MSE). Peran ini diperlukan saat Anda menggunakan gateway multi-kluster. Peran ini tidak memengaruhi penggunaan fitur lainnya.
AliyunCSManagedKubernetesRole	Instance fleet dari ACK One mengasumsikan peran ini untuk mengakses sumber daya dalam ACK Anda.
AliyunCSManagedLogRole	Komponen logging dari ACK One mengasumsikan peran ini untuk mengakses sumber daya Anda dalam layanan Alibaba Cloud lainnya.
AliyunCSManagedCmsRole	Komponen Content Management System (CMS) dari ACK One mengasumsikan peran ini untuk mengakses sumber daya Anda dalam layanan Alibaba Cloud lainnya.
AliyunCSManagedArmsRole	Plugin Application Real-Time Monitoring Service (ARMS) dari ACK One mengasumsikan peran ini untuk mengakses sumber daya Anda dalam layanan Alibaba Cloud lainnya.

Anda tidak perlu membuat peran terkait layanan secara manual. Saat pertama kali menggunakan konsol ACK One, konsol akan meminta Anda menyelesaikan otorisasi terlebih dahulu. Ikuti petunjuk di layar untuk menyelesaikan proses otorisasi.

Penting

Hanya akun Alibaba Cloud dan administrator akun RAM yang dapat menyelesaikan otorisasi peran. Pengguna RAM biasa tidak memiliki izin untuk melakukan operasi ini. Jika sistem memberi peringatan bahwa Anda tidak memiliki izin, gunakan akun Alibaba Cloud atau administrator akun RAM.

Kebijakan sistem RAM

Secara default, pengguna RAM tidak memiliki izin untuk memanggil operasi apa pun pada layanan Alibaba Cloud. Untuk menggunakan ACK One dengan pengguna RAM atau Peran RAM, Anda harus memberikan izin kepada pengguna RAM atau Peran RAM pada sumber daya ACK One.

ACK One menyediakan kebijakan sistem berikut secara default untuk mengontrol pembacaan dan penulisan pada sumber daya global. Anda dapat melampirkan kebijakan sistem ini ke pengguna RAM atau Peran RAM sesuai kebutuhan.

Untuk informasi lebih lanjut, lihat Lampirkan kebijakan izin sistem ke pengguna RAM atau Peran RAM.

Kebijakan sistem RAM	Izin	Kluster terlibat
Kebijakan sistem RAM	Izin	Kluster terdaftar	Fleet instances	Kluster alur kerja
AliyunAdcpFullAccess	Memberikan izin baca dan tulis pada semua sumber daya ACK One.	Ya	Ya	Ya
AliyunAdcpReadOnlyAccess	Memberikan izin baca-saja pada semua sumber daya ACK One.	Ya	Ya	Ya
AliyunCSFullAccess	Memberikan izin baca dan tulis pada semua sumber daya Container Service for Kubernetes (ACK).	Ya	Ya	Tidak
AliyunCSReadOnlyAccess	Memberikan izin baca-saja pada semua sumber daya ACK.	Ya	Ya	Tidak
AliyunVPCReadOnlyAccess	Memberikan izin untuk menentukan virtual private cloud (VPC) bagi cluster ACK yang akan dibuat.	Ya	Ya	Ya
AliyunECIReadOnlyAccess	Memberikan izin untuk menjadwalkan pod ke instance kontainer elastis.	Ya	Ya	Ya
AliyunLogReadOnlyAccess	Memberikan izin untuk memilih proyek log yang ada guna menyimpan log untuk kluster ACK yang akan dibuat atau melihat informasi pemeriksaan konfigurasi dari kluster ACK.	Ya	Ya	Ya
AliyunARMSReadOnlyAccess	Memberikan izin untuk melihat data pemantauan Plugin Managed Service for Prometheus di kluster ACK.	Ya	Ya	Ya
AliyunRAMReadOnlyAccess	Berikan izin untuk melihat kebijakan RAM yang ada.	Ya	Ya	Ya
AliyunECSReadOnlyAccess	Memberikan izin untuk menambahkan node yang ada di cloud ke kluster ACK atau melihat detail node.	Ya	Tidak	Tidak
AliyunContainerRegistryReadOnlyAccess	Memberikan izin untuk melihat gambar aplikasi dalam akun Alibaba Cloud.	Ya	Tidak	Tidak
AliyunAHASReadOnlyAccess	Memberikan izin untuk menggunakan fitur topologi kluster.	Ya	Tidak	Tidak
AliyunYundunSASReadOnlyAccess	Memberikan izin untuk melihat data pemantauan waktu proses dari kluster ACK.	Ya	Tidak	Tidak
AliyunKMSReadOnlyAccess	Memberikan izin untuk mengaktifkan fitur enkripsi Secret saat Anda membuat kluster ACK.	Ya	Tidak	Tidak
AliyunESSReadOnlyAccess	Memberikan izin untuk melakukan operasi terkait pool node di cloud, seperti izin untuk melihat, memodifikasi, dan menskalakan pool node.	Ya	Tidak	Tidak

Izin RBAC

Kebijakan sistem RAM hanya mengontrol izin pada sumber daya kluster ACK One. Jika pengguna RAM atau Peran RAM ingin mengelola sumber daya Kubernetes di kluster ACK One tertentu, seperti membuat dan menanyakan aplikasi GitOps dan alur kerja Argo, Anda harus memberikan izin RBAC kepada pengguna RAM atau Peran RAM pada kluster ACK One dan ruang namanya.

ACK One menyediakan peran yang telah ditentukan sebelumnya berikut:

Izin RBAC pada instance Fleet dan kluster alur kerja

Peran RBAC	Izin	Kluster terlibat
Peran RBAC	Izin	Instance Fleet	Kluster alur kerja
admin (administrator)	Memberikan izin baca dan tulis pada sumber daya di seluruh kluster dan sumber daya di semua namespace.	Ya	Ya
dev (developer)	Memberikan izin baca dan tulis pada sumber daya di namespace tertentu.	Ya	Ya
gitops-dev (GitOps developer)	Memberikan izin baca dan tulis pada sumber daya aplikasi di namespace argocd.	Ya	Tidak

Izin RBAC pada kluster terdaftar

Untuk informasi lebih lanjut tentang sumber daya yang dikontrol oleh RBAC dan cara memberikan izin, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.