全部产品
Search

搜索本产品

    Container Service for Kubernetes:[Perubahan Produk] API ACK meningkatkan otentikasi pengguna

    文档中心

    Container Service for Kubernetes:[Perubahan Produk] API ACK meningkatkan otentikasi pengguna

    更新时间:Jun 26, 2025

    Mulai 18 Agustus 2021, Container Service for Kubernetes (ACK) menerapkan otentikasi yang ditingkatkan untuk pengguna dan peran Resource Access Management (RAM) saat melakukan panggilan API. Untuk mencegah kesalahan otentikasi akibat panggilan API yang tidak sah, Anda harus memeriksa kebijakan RAM yang dilampirkan pada pengguna dan peran RAM dalam akun Alibaba Cloud Anda serta menambahkan izin yang diperlukan sesuai kebutuhan.

    Dampak

    Setelah otentikasi yang ditingkatkan diterapkan, jika pengguna atau peran RAM mencoba melakukan operasi yang tidak diizinkan, konsol ACK atau API akan mengembalikan pesan kesalahan dengan konten berikut: Kebijakan RAM Dilarang atau Kebijakan STSToken Dilarang. Pesan kesalahan tersebut juga mencantumkan tindakan RAM yang diperlukan untuk melakukan operasi.

    Contoh pesan kesalahan berikut mencantumkan tindakan RAM bernama cs:DescribeEvents:
    Kebijakan RAM Dilarang untuk tindakan cs:DescribeEvents
    Tabel berikut mencantumkan operasi API beserta tindakan RAM yang diperlukan untuk memanggil operasi tersebut. Jika pengguna atau peran RAM Anda tidak memiliki izin untuk memanggil operasi API dalam tabel ini, masuklah ke konsol RAM dan berikan izin yang diperlukan kepada pengguna atau peran RAM.
    OperasiTindakan RAMDeskripsi
    DescribeEventscs:DescribeEventsMengambil peristiwa pengguna
    StartAlertcs:StartAlertMengaktifkan aturan peringatan
    StopAlertcs:StopAlertMenonaktifkan aturan peringatan
    DeleteAlertContactcs:DeleteAlertContactMenghapus kontak peringatan
    DeleteAlertContactGroupcs:DeleteAlertContactGroupMenghapus grup kontak peringatan
    OpenAckServicecs:OpenAckServiceMengaktifkan ACK
    DescribeClusterResourcescs:DescribeClusterResourcesMengambil semua sumber daya dalam kluster berdasarkan ID kluster
    DescribeUserQuotacs:DescribeUserQuotaMengambil kuota sumber daya
    DescribeClustersV1cs:DescribeClustersV1Mengambil detail tentang semua kluster
    DescribeExternalAgentcs:DescribeExternalAgentMengambil proxy pendaftaran kluster berdasarkan ID kluster
    DescribeKubernetesVersionMetadatacs:DescribeKubernetesVersionMetadataMengambil versi Kubernetes yang didukung
    DescribeClusterAddonUpgradeStatuscs:DescribeClusterAddonUpgradeStatusMengambil kemajuan peningkatan add-on kluster
    DescribeClusterscs:DescribeClustersMengambil semua kluster dalam akun, termasuk kluster Kubernetes dan Swarm
    DescribeClusterNamespacescs:DescribeClusterNamespacesMengambil namespace dalam kluster
    ModifyClustercs:ModifyClusterMemodifikasi konfigurasi kluster berdasarkan ID kluster
    MigrateClustercs:MigrateClusterMemigrasi kluster
    UpdateK8sClusterUserConfigExpirecs:UpdateK8sClusterUserConfigExpireMemperbarui waktu kedaluwarsa konfigurasi kustom
    DescribeClusterNodescs:DescribeClusterNodesMengambil detail tentang semua node dalam kluster berdasarkan ID kluster
    DescribeClusterAttachScriptscs:DescribeClusterAttachScriptsMengambil skrip yang digunakan untuk menambahkan instance ke kluster
    GetUpgradeStatuscs:GetUpgradeStatusMengambil kemajuan peningkatan kluster berdasarkan ID kluster
    UpgradeClustercs:UpgradeClusterMeningkatkan kluster berdasarkan ID kluster
    PauseClusterUpgradecs:PauseClusterUpgradeMenghentikan sementara peningkatan kluster
    CancelClusterUpgradecs:CancelClusterUpgradeMembatalkan peningkatan kluster
    CreateTemplatecs:CreateTemplateMembuat template orkestrasi
    DescribeTemplatescs:DescribeTemplatesMengambil detail tentang semua template orkestrasi
    DescribeTemplateAttributecs:DescribeTemplateAttributeMengambil detail tentang template orkestrasi berdasarkan ID template
    UpdateTemplatecs:UpdateTemplateMemperbarui template orkestrasi berdasarkan ID template
    DeleteTemplatecs:DeleteTemplateMenghapus template orkestrasi berdasarkan ID template
    CreateKubernetesTriggercs:CreateKubernetesTriggerMembuat pemicu untuk aplikasi
    GetKubernetesTriggercs:GetKubernetesTriggerMengambil pemicu aplikasi berdasarkan nama aplikasi
    DeleteKubernetesTriggercs:DeleteKubernetesTriggerMenghapus pemicu berdasarkan ID pemicu
    InstallClusterAddonscs:InstallClusterAddonsMemasang komponen dalam kluster
    DescribeAddonscs:DescribeAddonsMengambil detail tentang semua komponen yang didukung
    DescribeClusterAddonsUpgradeStatuscs:DescribeClusterAddonsUpgradeStatusMengambil kemajuan peningkatan komponen berdasarkan nama komponen
    DescribeClusterAddonsVersioncs:DescribeClusterAddonsVersionMengambil detail tentang semua komponen dalam kluster berdasarkan ID kluster
    ModifyClusterConfigurationcs:ModifyClusterConfigurationHanya berlaku untuk kluster terkelola
    UpgradeClusterAddonscs:UpgradeClusterAddonsMeningkatkan komponen ke versi tertentu berdasarkan nama komponen
    PauseComponentUpgradecs:PauseComponentUpgradeMenghentikan sementara peningkatan komponen
    ResumeComponentUpgradecs:ResumeComponentUpgradeMelanjutkan peningkatan komponen
    CancelComponentUpgradecs:CancelComponentUpgradeMembatalkan peningkatan komponen
    UnInstallClusterAddonscs:UnInstallClusterAddonsMenghapus komponen berdasarkan nama komponen
    CreateAutoscalingConfigcs:CreateAutoscalingConfigMengonfigurasi penskalaan otomatis

    Memodifikasi kebijakan RAM

    Contoh berikut menunjukkan cara memodifikasi kebijakan RAM yang dilampirkan pada pengguna atau peran RAM. Untuk informasi lebih lanjut tentang otorisasi RAM, lihat Gunakan RAM untuk Mengotorisasi Akses ke Kluster dan Sumber Daya Cloud.

    Scenario 1: A RAM user can perform only the cs:Get* action on a cluster and requires permissions on all read-only operations related to the cluster

    Blok kode berikut menunjukkan kebijakan RAM ketika pengguna RAM hanya dapat melakukan tindakan cs:Get* pada kluster:
    {
    "Statement": [
        {
            "Action": "cs:Get*",
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}
    Jika pengguna RAM memerlukan izin untuk semua operasi baca-saja terkait kluster, modifikasi kebijakan RAM seperti yang ditunjukkan dalam blok kode berikut:
    {
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}
    Catatan Tindakan cs:Get* tidak mencakup semua operasi baca-saja. Untuk memberikan izin kepada pengguna RAM untuk semua operasi baca-saja, Anda harus menambahkan tindakan cs:List* dan cs:Describe* ke dalam kebijakan RAM.

    Scenario 2: Grant a RAM user the permissions on an individual operation related to a cluster

    Untuk memberikan izin kepada pengguna RAM untuk operasi individual terkait kluster, tambahkan tindakan RAM yang sesuai dengan operasi tersebut ke dalam kebijakan RAM.

    Blok kode berikut menunjukkan kebijakan RAM saat ini:
    {
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}
    Untuk memberikan izin pada operasi ModifyCluster, tambahkan tindakan RAM yang sesuai cs:ModifyCluster ke dalam kebijakan RAM, seperti yang ditunjukkan dalam blok kode berikut:
    {
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*",
                "cs:ModifyCluster"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}

    Scenario 3: Grant a RAM user permissions on operations that are not specific to individual clusters

    Beberapa operasi API tidak spesifik untuk kluster individual, seperti CreateCluster, DescribeClusters, dan DescribeEvents. Untuk memberikan izin kepada pengguna RAM untuk operasi-operasi ini, jangan tentukan ID kluster di bagian Resource.

    Blok kode berikut menunjukkan kebijakan RAM saat ini:
    {
    "Statement": [
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}
    Untuk memberikan izin pada operasi DescribeEvents, tambahkan tindakan RAM yang sesuai cs:DescribeEvents ke dalam kebijakan RAM, seperti yang ditunjukkan dalam blok kode berikut:
    {
    "Statement": [
        {
            "Action": [
                "cs:DescribeEvents"
            ],
            "Effect": "Allow",
            "Resource": [
              "*"
            ]
        },
        {
            "Action": [
                "cs:Get*",
                "cs:List*",
                "cs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:cs:*:*:cluster/c2e63856bcd714197****"
            ]
        }
    ],
    "Version": "1"
}