Secara default, pengguna Resource Access Management (RAM) tidak memiliki akses ke API layanan cloud. Untuk menggunakan Distributed Cloud Container Platform for Kubernetes (ACK One) melalui pengguna RAM atau peran RAM, izin operasional harus diberikan untuk tindakan tertentu seperti pembuatan instance Fleet, asosiasi kluster, dan penyediaan kluster alur kerja. ACK One menyediakan kebijakan izin sistem default untuk mengontrol izin baca dan tulis global. Topik ini menjelaskan cara melampirkan kebijakan izin sistem ke pengguna RAM atau peran RAM.
Catatan penggunaan
Anda perlu memberikan izin kepada pengguna RAM atau peran RAM dengan menggunakan akun Alibaba Cloud atau akun administrator RAM. Anda tidak dapat memberikan izin dengan menggunakan pengguna RAM.
Kebijakan izin sistem yang didukung oleh ACK One
Kebijakan sistem RAM | Izin | Kluster terlibat | ||
Kluster terdaftar | Instance Fleet | Kluster alur kerja | ||
AliyunAdcpFullAccess | Memberikan izin baca dan tulis pada semua sumber daya ACK One. | Ya | Ya | Ya |
AliyunAdcpReadOnlyAccess | Memberikan izin baca saja pada semua sumber daya ACK One. | Ya | Ya | Ya |
AliyunCSFullAccess | Memberikan izin baca dan tulis pada semua sumber daya Container Service for Kubernetes (ACK). | Ya | Ya | Tidak |
AliyunCSReadOnlyAccess | Memberikan izin baca saja pada semua sumber daya ACK. | Ya | Ya | Tidak |
AliyunVPCReadOnlyAccess | Memberikan izin untuk menentukan virtual private cloud (VPC) untuk kluster ACK yang akan dibuat. | Ya | Ya | Ya |
AliyunECIReadOnlyAccess | Memberikan izin untuk menjadwalkan pod ke instance kontainer elastis. | Ya | Ya | Ya |
AliyunLogReadOnlyAccess | Memberikan izin untuk memilih proyek log yang ada untuk menyimpan log untuk kluster ACK yang akan dibuat atau melihat informasi pemeriksaan konfigurasi kluster ACK. | Ya | Ya | Ya |
AliyunARMSReadOnlyAccess | Memberikan izin untuk melihat data pemantauan dari plugin Managed Service for Prometheus dalam kluster ACK. | Ya | Ya | Ya |
AliyunRAMReadOnlyAccess | Memberikan izin untuk melihat kebijakan RAM yang ada. | Ya | Ya | Ya |
AliyunECSReadOnlyAccess | Memberikan izin untuk menambahkan node yang ada di cloud ke kluster ACK atau melihat detail node. | Ya | Tidak | Tidak |
AliyunContainerRegistryReadOnlyAccess | Memberikan izin untuk melihat gambar aplikasi dalam akun Alibaba Cloud. | Ya | Tidak | Tidak |
AliyunAHASReadOnlyAccess | Memberikan izin untuk menggunakan fitur topologi kluster. | Ya | Tidak | Tidak |
AliyunYundunSASReadOnlyAccess | Memberikan izin untuk melihat data pemantauan waktu proses kluster ACK. | Ya | Tidak | Tidak |
AliyunKMSReadOnlyAccess | Memberikan izin untuk mengaktifkan fitur enkripsi rahasia saat Anda membuat kluster ACK. | Ya | Tidak | Tidak |
AliyunESSReadOnlyAccess | Memberikan izin untuk melakukan operasi terkait pool node di cloud, seperti izin untuk melihat, memodifikasi, dan menskalakan pool node. | Ya | Tidak | Tidak |
Memberikan izin kepada pengguna RAM atau peran RAM
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Di halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM secara bersamaan.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Konfigurasikan parameter Resource Scope.
Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
ResourceGroup: Otorisasi berlaku untuk grup sumber daya tertentu.
PentingJika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan bahwa layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Memberikan Pengguna RAM Izin Mengelola Instance ECS Tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
Konfigurasikan parameter Kebijakan.
Kebijakan mencakup satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan RAM.
CatatanSistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom sesuai kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Klik Grant permissions.
Referensi
Kebijakan izin sistem RAM dapat digunakan untuk mengontrol izin hanya pada sumber daya ACK One. Jika pengguna RAM atau peran RAM perlu mengelola sumber daya Kubernetes di kluster tertentu, seperti membuat aplikasi GitOps dan alur kerja, Anda harus memberikan pengguna RAM atau peran RAM izin Role-Based Access Control (RBAC) pada instance Fleet ACK One, kluster alur kerja, dan namespace mereka. Untuk informasi lebih lanjut, lihat Berikan Izin RBAC kepada Pengguna RAM atau Peran RAM.