All Products
Search

This Product

    Container Service for Kubernetes:Berikan izin RBAC kepada Pengguna RAM atau Peran RAM

    Document Center

    Container Service for Kubernetes:Berikan izin RBAC kepada Pengguna RAM atau Peran RAM

    Last Updated:Mar 27, 2026

    Kebijakan sistem RAM hanya mengontrol izin untuk tindakan pada sumber daya kluster ACK One, seperti membuat atau melihat daftar instans. Untuk mengelola sumber daya Kubernetes di dalam kluster—misalnya, membuat GitOps Applications atau Argo Workflows—Pengguna RAM atau Peran RAM juga memerlukan izin Role-Based Access Control (RBAC) pada kluster dan namespace-nya. Topik ini menjelaskan cara memberikan izin tersebut.

    Catatan penggunaan

    Hanya Akun Alibaba Cloud, pembuat kluster, atau Pengguna RAM dengan izin administrator kluster yang dapat memberikan izin kepada Pengguna RAM atau Peran RAM tertentu. Pengguna RAM biasa tidak dapat memberikan izin.

    Prasyarat

    RBAC permissions supported by ACK One

    RBAC permissions for Fleet

    RBAC role

    Description

    admin (administrator)

    Memberikan izin baca dan tulis pada semua sumber daya berbasis kluster serta sumber daya di semua namespace.

    dev (developer)

    Memberikan izin baca dan tulis pada sumber daya dalam namespace yang dipilih.

    gitops-dev (GitOps developer)

    Memberikan izin baca dan tulis pada sumber daya aplikasi di namespace argocd.

    Sumber daya berbasis kluster dan berbasis namespace

    • Cluster-scoped resources

      Kind

      apiVersion

      Namespace

      v1

      Managedcluster

      cluster.open-cluster-management.io

      MseIngressConfig

      mse.alibabacloud.com/v1alpha1

      IngressClass

      networking.k8s.io/v1

    • Namespace-scoped resources

      Kind

      apiVersion

      Deployment

      apps/v1

      Service

      v1

      Ingress

      networking.k8s.io/v1

      ConfigMap

      v1

      Secret

      v1

      StatefulSet

      apps/v1

      PersistentVolumeClaim

      v1

      ServiceExport

      multicluster.x-k8s.io/v1alpha1

      ServiceImport

      multicluster.x-k8s.io/v1alpha1

      HorizontalPodAutoscaler

      autoscaling/v1

      Application

      ApplicationSet

      Appproject

      argoproj.io

      Workflow

      argoproj.io

      Application

      core.oam.dev

    • Application resources in the argocd namespace

      Kind

      apiVersion

      Application

      argoproj.io

    RBAC permissions for workflow clusters

    RBAC role

    Description

    admin (administrator)

    Memberikan izin baca dan tulis pada semua sumber daya berbasis kluster serta sumber daya di semua namespace.

    dev (developer)

    Memberikan izin baca dan tulis pada sumber daya dalam namespace yang dipilih.

    Sumber daya berbasis kluster dan berbasis namespace

    • Cluster-scoped resources

      Kind

      apiVersion

      Namespace

      v1

      PersistentVolumes

      v1

      ImageCaches

      eci.alibabacloud.com

    • Namespace-scoped resources

      Kind

      apiVersion

      ConfigMap

      v1

      Secret

      v1

      ServiceAccount

      v1

      PersistentVolumeClaim

      v1

      Pod

      v1

      Workflow

      WorkflowTemplate

      CronWorkflow

      argoproj.io

      EventSource

      EventBus

      Sensor

      argoproj.io

    RBAC permissions for registered clusters

    Untuk informasi selengkapnya, lihat Predefined RBAC roles for registered clusters.

    Grant RBAC permissions for Fleet

    Use the console

    1. Masuk ke ACK One console.

    2. Di panel navigasi sebelah kiri, pilih Fleet > Permissions.

    3. Di halaman Permissions, klik tab Fleet, lalu klik tab RAM User.

    4. Temukan Pengguna RAM yang akan diberi otorisasi, lalu klik Manage Permissions di kolom Actions.

    5. Pada kotak dialog yang muncul, pilih RAM Role dan Namespace yang diinginkan, lalu klik OK.

    Use the CLI

    Grant admin role

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName admin

    Grant dev role

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace default --RoleName dev

    Grant gitops-dev role

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace argocd --RoleName gitops-dev

    Parameters

    Parameter

    Type

    Required

    Description

    UserId

    string

    Yes

    ID Pengguna RAM.

    ClusterId

    string

    Yes

    ID instans Fleet target.

    RoleType

    string

    Yes

    Jenis otorisasi. Nilai yang valid:

    • cluster: Izin berlaku untuk cakupan instans Fleet.

    • namespace: Izin berlaku untuk cakupan namespace.

      Catatan

      • Jenis otorisasi untuk izin admin harus berupa cakupan instans Fleet cluster, dan tidak boleh berupa cakupan namespace.

      • Jenis otorisasi untuk izin dev dan gitops-dev harus berupa cakupan namespace, bukan cakupan instans Fleet.

    RoleName

    string

    Yes

    Nama peran yang telah ditentukan. Nilai yang valid:

    • admin: administrator.

    • dev: developer.

    • gitops-dev: GitOps developer.

    Namespace

    string

    No

    Nama namespace.

    Catatan

    • Parameter ini wajib jika RoleType diatur ke namespace.

    • Jika dimensi otorisasi adalah namespace dan jenis peran adalah GitOps developer, nama namespace harus diatur ke argocd.

    • Parameter ini tidak diperlukan jika RoleType diatur ke cluster.

    Grant RBAC permissions for a workflow cluster

    Use the CLI

    Grant admin role

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName admin

    Grant dev role

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace default --RoleName dev

    Parameters

    Parameter

    Type

    Required

    Description

    UserId

    string

    Yes

    ID Pengguna RAM.

    ClusterId

    string

    Yes

    ID workflow cluster target.

    RoleType

    string

    Yes

    Jenis otorisasi. Nilai yang valid:

    • cluster: Izin berlaku untuk cakupan kluster.

    • namespace: Izin berlaku untuk cakupan namespace.

    Catatan

    • Untuk memberikan peran admin, Anda harus mengatur parameter ini ke cluster.

    • Jenis otorisasi untuk izin dev harus berupa namespace, yaitu cakupan tingkat namespace, dan tidak boleh berupa cakupan tingkat kluster.

    RoleName

    string

    Yes

    Nama peran yang telah ditentukan. Nilai yang valid:

    • admin: administrator.

    • dev: developer.

    Namespace

    string

    No

    Nama namespace.

      Catatan

      Parameter ini wajib jika RoleType diatur ke namespace.

      Parameter ini tidak diperlukan jika RoleType diatur ke cluster.

    Related operations

    Update RBAC permissions

    aliyun adcp UpdateUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName dev

    Query RBAC permissions

    aliyun adcp DescribeUserPermissions --UserId 1159648454******

    Revoke RBAC permissions

    aliyun adcp DeleteUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476******