All Products
Search

This Product

    Container Service for Kubernetes:[Perubahan Produk] Cabut izin yang digunakan oleh aliyun-acr-credential-helper

    Document Center

    Container Service for Kubernetes:[Perubahan Produk] Cabut izin yang digunakan oleh aliyun-acr-credential-helper

    Last Updated:Jul 06, 2025

    Untuk membatasi lebih lanjut izin peran RAM pekerja pada Container Service for Kubernetes (ACK) managed clusters, ACK berencana melakukan rilis bertahap komponen aliyun-acr-credential-helper mulai 3 April 2023. Versi baru aliyun-acr-credential-helper tidak lagi bergantung pada kebijakan izin yang terlampir pada peran RAM pekerja di ACK managed clusters. Untuk menggunakan versi baru ini secara normal, Anda harus menetapkan peran sistem AliyunCSManagedAcrRole kepada ACK.

    Ruang lingkup dampak

    Hanya ACK managed clusters, termasuk ACK standar dan ACK Pro clusters, yang dibuat pada atau setelah 3 April 2023 dan menggunakan aliyun-acr-credential-helper yang terpengaruh.

    Penting ACK clusters yang dibuat sebelum 3 April 2023 dapat terus menggunakan aliyun-acr-credential-helper seperti biasa.

    Dampak

    Jika Anda tidak menetapkan peran AliyunCSManagedAcrRole kepada ACK sebelum 3 April 2023, Anda tidak akan dapat menginstal atau memperbarui komponen aliyun-acr-credential-helper di ACK managed clusters yang dibuat pada atau setelah 3 April 2023.

    Dalam skenario ini, konsol akan menampilkan Gagal melewati pra-pemeriksaan. untuk komponen tersebut. Anda dapat mengklik Lihat Laporan dan mengikuti petunjuk di halaman untuk menetapkan peran AliyunCSManagedAcrRole kepada ACK.

    Perubahan ini tidak memengaruhi cluster yang dibuat sebelum 3 April 2023. Cluster-cluster tersebut dapat terus menggunakan aliyun-acr-credential-helper seperti biasa. Untuk cluster yang dibuat pada atau setelah 3 April 2023, penarikan gambar menggunakan aliyun-acr-credential-helper terpengaruh. Tabel berikut menjelaskan dampak dan saran.
    Skenario Penarikan GambarPelaksanaanStatus Kebijakan Izin Terlampir pada Peran RAM PekerjaDampak dan Saran
    Penarikan gambar dalam akun yang samaKebijakan tidak dimodifikasi.Tidak ada dampak. Anda dapat menggunakan metode default untuk menginstal dan menggunakan versi komponen baru.
    Kebijakan dimodifikasi untuk mendukung penyesuaian kebijakan izin Container Registry.Secara default, versi komponen baru tidak mendukung penyesuaian kebijakan izin Container Registry. Jika Anda ingin menyesuaikan kebijakan izin Container Registry, perhatikan saran berikut:
    • Saran 1: Konfigurasikan komponen untuk bergantung pada peran RAM pekerja saat menginstal komponen.
    • Saran 2: Tarik gambar dalam mode RRSA.
    Penarikan gambar dari akun yang berbedaGunakan peran RAM pekerjaKebijakan dimodifikasi. Dalam skenario ini, Anda perlu memodifikasi peran RAM pekerja.Jika Anda ingin menarik gambar dari akun yang berbeda, perhatikan saran berikut:
    • Saran 1: Konfigurasikan komponen untuk bergantung pada peran RAM pekerja saat menginstal komponen.
    • Saran 2: Tarik gambar dalam mode RRSA.
    Gunakan mode RRSAKebijakan tidak dimodifikasi. Anda tidak perlu memodifikasi peran RAM pekerja.Tidak ada dampak. Anda dapat terus menggunakan metode ini untuk menarik gambar.
    Gunakan ID AccessKey dan Rahasia AccessKey dari pengguna RAMKebijakan tidak dimodifikasi. Anda tidak perlu memodifikasi peran RAM pekerja.Tidak ada dampak. Anda dapat terus menggunakan metode ini untuk menarik gambar.
    Penarikan gambar lintas wilayahKebijakan tidak dimodifikasi.Tidak ada dampak. Anda dapat menggunakan metode default untuk menginstal dan menggunakan versi komponen baru.
    Kebijakan dimodifikasi untuk mendukung penyesuaian kebijakan izin Container Registry.Secara default, versi komponen baru tidak mendukung penyesuaian kebijakan izin Container Registry. Jika Anda ingin menyesuaikan kebijakan izin Container Registry, perhatikan saran berikut:
    • Saran 1: Konfigurasikan komponen untuk bergantung pada peran RAM pekerja saat menginstal komponen.
    • Saran 2: Tarik gambar dalam mode RRSA.

    Tetapkan peran AliyunCSManagedAcrRole kepada ACK

    Anda masih dapat menetapkan peran sistem AliyunCSManagedAcrRole kepada ACK setelah 3 April 2023. Namun, untuk memastikan bahwa Anda dapat menginstal dan memperbarui komponen aliyun-acr-credential-helper di cluster yang dibuat pada atau setelah 3 April 2023 setelah versi komponen baru dirilis, kami sarankan Anda menetapkan peran AliyunCSManagedAcrRole kepada ACK sebelum 3 April 2023. Bagian ini menjelaskan cara menetapkan peran AliyunCSManagedAcrRole kepada ACK.
    Penting Otorisasi ini hanya perlu dilakukan sekali untuk setiap akun Alibaba Cloud.

    Prosedur

    1. Masuk ke konsol Otorisasi Akses Sumber Daya Cloud menggunakan akun Alibaba Cloud atau pengguna RAM dengan izin AdministratorAccess.
    2. Di halaman Cloud Resource Access Authorization, klik Confirm Authorization Policy untuk menetapkan peran AliyunCSManagedAcrRole kepada ACK.

    Kebijakan izin

    Secara default, komponen aliyun-acr-credential-helper bergantung pada kebijakan izin berikut: 
     {
    "Action": [
        "cr:GetAuthorizationToken",
        "cr:ListInstanceEndpoint",
        "cr:PullRepository"
    ],
    "Resource": [
        "*"
    ],
    "Effect": "Allow"
}

    Referensi