Memberikan Izin RBAC kepada Pengguna RAM atau Peran RAM

Kontrol Akses Berbasis Peran (RBAC) mengatur akses ke sumber daya berdasarkan peran pengguna. Anda dapat menggunakan RBAC untuk memberikan izin yang berbeda kepada peran yang berbeda pada sumber daya Kubernetes guna meningkatkan keamanan akun. Topik ini menjelaskan cara memberikan izin RBAC kepada pengguna Resource Access Management (RAM) atau peran RAM pada kluster Alibaba Cloud Container Compute Service (ACS).

Ikhtisar

Item	Deskripsi
Izin default	Secara default, hanya akun Alibaba Cloud dan pembuat kluster yang memiliki izin administrator pada sumber daya Kubernetes di kluster ACS. Secara default, pengguna RAM atau peran RAM selain pemilik kluster tidak memiliki izin untuk mengakses sumber daya Kubernetes di kluster ACS.
Metode otorisasi	Metode 1: Tetapkan peran RBAC yang telah ditentukan sebelumnya berikut ini kepada pengguna RAM atau peran RAM: Administrator, Insinyur O&M, Pengembang, Pengguna Terbatas, dan Kustom. Peran Administrator memiliki izin untuk mengakses semua sumber daya Kubernetes dalam kluster. Untuk informasi lebih lanjut, lihat bagian Memberikan izin RBAC kepada pengguna RAM atau peran RAM dari topik ini. Metode 2: Tetapkan peran yang telah ditentukan sebelumnya kepada pengguna RAM atau peran RAM untuk mengelola semua kluster. Setelah peran yang telah ditentukan sebelumnya diberikan kepada pengguna RAM atau peran RAM, Anda juga dapat mengelola kluster baru sebagai pengguna RAM atau peran RAM tersebut. Untuk informasi lebih lanjut, lihat bagian Memberikan izin RBAC kepada pengguna RAM atau peran RAM dari topik ini. Metode 3: Gunakan pengguna RAM atau peran RAM untuk menetapkan peran RBAC kepada pengguna RAM lainnya atau peran RAM lainnya. Saat menggunakan metode otorisasi ini, hanya kluster dan namespace yang diizinkan untuk dikelola oleh pengguna RAM atau peran RAM yang ditampilkan di konsol. Selain itu, pengguna RAM atau peran RAM harus diberi peran Administrator atau cluster-admin dari kluster tertentu atau namespace. Untuk informasi lebih lanjut, lihat Tentukan pengguna RAM atau peran RAM sebagai administrator izin dan Gunakan pengguna RAM atau peran RAM untuk memberikan izin RBAC kepada pengguna RAM lainnya atau peran RAM lainnya. Catatan Sebelum Anda memberikan izin kepada pengguna RAM atau peran RAM, pastikan bahwa pengguna RAM atau peran RAM diberi izin baca-saja pada kluster tertentu di konsol RAM.
Model otorisasi	Anda dapat memberikan izin kepada satu atau lebih pengguna RAM atau peran RAM sekaligus.

Catatan

Untuk memastikan keamanan data, Anda tidak dapat memodifikasi kebijakan RAM yang dilampirkan ke pengguna RAM atau peran RAM di konsol ACS. Anda harus membaca petunjuk di halaman otorisasi, masuk ke konsol RAM, dan kemudian memodifikasi kebijakan RAM.

Masuk ke konsol ACS. Di panel navigasi sebelah kiri, klik Permission Management.
Di halaman Authorizations, pilih pengguna RAM atau peran RAM yang ingin Anda otorisasi.
Penting
Kluster ACS adalah jenis kluster ACK Serverless. Jika Anda memberikan izin kepada pengguna RAM atau peran RAM untuk mengelola semua kluster di konsol ACK, pengguna RAM atau peran RAM tersebut diotorisasi untuk mengelola kluster ACS dan Anda tidak dapat memberikan izin pada kluster ACS kepada pengguna RAM atau peran RAM di konsol ACS.
1. Berikan Izin kepada Pengguna RAM
  Klik tab RAM Users, temukan pengguna RAM yang ingin Anda kelola dalam daftar, lalu klik Modify Permissions untuk membuka panel Permission Management.
2. Berikan Izin kepada Peran RAM
  Klik tab RAM Roles, tentukan Nama Peran RAM, lalu klik Modify Permissions untuk membuka panel Permission Management.

Di panel Permission Management, klik +Add Permissions, konfigurasikan parameter Clusters, Namespace, dan Manajemen Izin untuk pengguna RAM atau peran RAM, lalu klik Submit.

Peran yang telah ditentukan sebelumnya	Izin RBAC pada sumber daya kluster
Administrator	Izin baca-tulis pada sumber daya di semua namespace.
O&M Engineer	Izin baca-tulis pada sumber daya Kubernetes yang terlihat di konsol ACS di semua namespace dan izin baca-saja pada volume persisten (PV), namespace, dan kuota.
Developer	Izin baca-tulis pada sumber daya yang terlihat di konsol ACS di semua atau namespace tertentu.
Restricted User	Izin baca-saja pada sumber daya yang terlihat di konsol ACS di semua atau namespace tertentu.
Custom	Izin peran kustom ditentukan oleh peran kluster yang Anda pilih. Sebelum Anda memilih peran kluster, periksa izin peran kluster dan pastikan bahwa Anda hanya memberikan izin yang diperlukan kepada pengguna RAM atau peran RAM. Bagian berikut menjelaskan cara melihat izin peran kustom. Penting Setelah pengguna RAM atau peran RAM diberi peran cluster-admin, pengguna RAM atau peran RAM memiliki izin yang sama dengan akun Alibaba Cloud tempat pengguna RAM atau peran RAM tersebut dimiliki. Pengguna RAM atau peran RAM memiliki kontrol penuh atas semua sumber daya dalam kluster. Berhati-hatilah saat Anda menetapkan peran ini.

Setelah otorisasi selesai, Anda dapat masuk ke konsol ACS sebagai pengguna RAM atau peran RAM untuk mengelola kluster yang ditentukan.

Catatan

Pastikan bahwa pengguna RAM atau peran RAM diizinkan untuk mengelola kluster dan peran administrator RBAC atau cluster-admin telah diberikan. Untuk informasi lebih lanjut, lihat Lampirkan Kebijakan RAM ke Pengguna RAM atau Peran RAM.
ACS menyediakan peran yang telah ditentukan sebelumnya berikut: Administrator, Insinyur O&M, Pengembang, dan Pengguna Terbatas. Anda dapat menggunakan peran-peran ini untuk mengatur akses ke sumber daya dalam sebagian besar skenario. Anda juga dapat menggunakan peran kustom untuk mendefinisikan izin pada kluster berdasarkan kebutuhan bisnis Anda.
Anda dapat menetapkan satu peran yang telah ditentukan sebelumnya dan beberapa peran kustom kepada pengguna RAM atau peran RAM untuk mengelola kluster atau namespace.
Jika Anda ingin mengotorisasi pengguna RAM atau peran RAM untuk mengelola semua kluster (termasuk kluster baru yang dibuat), pilih All Clusters di kolom Clusters saat Anda menetapkan peran yang telah ditentukan sebelumnya kepada pengguna RAM atau peran RAM.

Tampilkan Cara Melihat Izin Peran Kustom

Klik Custom lalu klik View YAML untuk melihat izin peran kustom.

Masuk ke node dan jalankan perintah berikut untuk melihat peran RBAC dalam kluster:

kubectl get clusterrole

Hasil yang Diharapkan:

NAME                                                                   CREATED AT
acs:view                                                               2024-12-31T06:18:06Z
admin                                                                  2024-12-31T06:17:53Z
alibaba-log-controller                                                 2024-12-31T06:25:03Z
alicloud-csi-provisioner                                               2024-12-31T06:19:23Z
aliyun-eci-pod-clusterrole                                             2024-12-31T06:18:52Z
arms-aliyunserviceroleforarms-clusterrole                              2024-12-31T06:25:03Z
cluster-admin                                                          2024-12-31T06:17:53Z
ebs-token-controller                                                   2024-12-31T06:19:00Z
edit                                                                   2024-12-31T06:17:53Z
o11y:addon-controller:role                                             2024-12-31T06:24:32Z
system:aggregate-to-admin                                              2024-12-31T06:17:53Z
system:aggregate-to-edit                                               2024-12-31T06:17:53Z
...
system:volume-scheduler                                                2024-12-31T06:17:53Z
tenant-webhook-clusterrole                                             2024-12-31T06:19:45Z
view                                                                   2024-12-31T06:17:53Z

Jalankan perintah berikut untuk menanyakan detail peran, seperti peran cluster-admin:
Penting
Setelah pengguna RAM atau peran RAM diberi peran cluster-admin, pengguna RAM atau peran RAM memiliki izin yang sama dengan akun Alibaba Cloud tempat pengguna RAM atau peran RAM tersebut dimiliki. Pengguna RAM atau peran RAM memiliki kontrol penuh atas semua sumber daya dalam kluster. Berhati-hatilah jika Anda ingin menetapkan peran cluster-admin kepada pengguna RAM atau peran RAM.
```
kubectl get clusterrole cluster-admin -o yaml
```
Hasil yang Diharapkan:
```
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2024-12-31T06:17:53Z"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "70"
  uid: 759xxxxx-5ad2-42ce-872d-fbce117xxxxx
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'
```

Gunakan pengguna RAM atau peran RAM untuk memberikan izin RBAC kepada pengguna RAM lainnya atau peran RAM lainnya

Secara default, Anda tidak dapat menggunakan pengguna RAM atau peran RAM untuk memberikan izin RBAC kepada pengguna RAM lainnya atau peran RAM lainnya. Jika Anda ingin menggunakan pengguna RAM atau peran RAM untuk memberikan izin RBAC kepada pengguna RAM lainnya atau peran RAM lainnya, Anda harus terlebih dahulu menggunakan akun Alibaba Cloud atau pengguna RAM yang diberi peran Administrator dari semua kluster untuk memberikan izin yang diperlukan kepada pengguna RAM atau peran RAM.

Izin RAM

Anda harus melampirkan kebijakan RAM ke pengguna RAM atau peran RAM. Kebijakan RAM harus memberikan izin berikut:

Izin untuk melihat pengguna RAM lainnya yang termasuk dalam akun Alibaba Cloud yang sama.
Izin untuk melampirkan kebijakan RAM kepada pengguna RAM lainnya atau peran RAM lainnya.
Izin untuk melihat informasi tentang kluster ACK.
Izin untuk melihat izin peran RBAC.
Izin untuk menetapkan peran RBAC kepada pengguna RAM lainnya atau peran RAM lainnya.

Masuk ke konsol RAM, buat kebijakan RAM berdasarkan konten berikut, lalu lampirkan kebijakan RAM ke pengguna RAM atau peran RAM. Untuk informasi lebih lanjut, lihat Lampirkan Kebijakan RAM ke Pengguna RAM atau Peran RAM.
Penting
Ganti xxxxxx dengan nama kebijakan RAM yang ingin Anda otorisasikan kepada pengguna RAM atau peran RAM untuk dilampirkan ke pengguna RAM lainnya atau peran RAM lainnya. Jika Anda mengganti xxxxxx dengan tanda asterisk (*), pengguna RAM atau peran RAM diizinkan untuk melampirkan semua kebijakan RAM kepada pengguna RAM lainnya atau peran RAM lainnya. Tanda asterisk (*) di bidang Sumber Daya memberikan izin untuk melakukan tindakan pada semua sumber daya yang termasuk dalam UID. API ACK (cs:*) mencakup izin operasi pada semua kluster ACK kecuali kluster ACS. Berhati-hatilah saat memberikan izin.
```
{
    "Statement": [{
            "Action": [
                "ram:Get*",
                "ram:List*",
                "cs:DescribeClustersV1",
                "cs:GrantPermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ram:AttachPolicyToUser",
                "ram:AttachPolicy"
            ],
            "Effect": "Allow",
            "Resource":  [
                "acs:ram:*:*:policy/xxxxxx",
                "acs:*:*:*:user/*"
            ]
        }
    ],
    "Version": "1"
}
```
Setelah kebijakan RAM dilampirkan ke pengguna RAM atau peran RAM, Anda dapat menggunakan pengguna RAM atau peran RAM untuk melampirkan kebijakan RAM yang ditentukan kepada pengguna RAM lainnya atau peran RAM lainnya.

Izin RBAC

Setelah Anda melampirkan kebijakan RAM sebelumnya ke pengguna RAM atau peran RAM, Anda harus menetapkan peran Administrator atau cluster-admin kepada pengguna RAM atau peran RAM untuk mengizinkan pengguna RAM atau peran RAM mengakses kluster atau namespace tertentu. Untuk informasi lebih lanjut, lihat Berikan Administrator Otorisasi Izin untuk Mengelola Izin Pengguna RAM dan Peran RAM.

Tetapkan pengguna RAM atau peran RAM sebagai administrator izin

Setelah Anda menetapkan pengguna RAM atau peran RAM sebagai administrator izin, Anda dapat menggunakan pengguna RAM atau peran RAM untuk memberikan izin kepada pengguna RAM lainnya atau peran RAM lainnya.

Masuk ke konsol RAM dan temukan pengguna RAM atau peran RAM yang ingin Anda gunakan.
- Pengguna RAM
  Di bilah navigasi sebelah kiri konsol RAM, pilih Identities > Users. Temukan pengguna RAM yang ingin Anda gunakan dan klik Add Permissions di kolom Actions.
- Peran RAM
  Di bilah navigasi sebelah kiri konsol RAM, pilih Identities > Roles. Temukan peran RAM yang ingin Anda gunakan dan klik Add Permissions di kolom Actions.
Di panel Add Permissions, atur Authorized Scope, pilih Kebijakan Sistem, lalu cari kebijakan AliyunRAMFullAccess dan AliyunACCFullAccess. Klik nama setiap kebijakan untuk memindahkan kebijakan ke bagian Selected di sebelah kanan halaman. Lalu, klik OK. Setelah kebijakan dilampirkan, klik Complete.
Masuk ke konsol ACS dan tetapkan peran Administrator kepada pengguna RAM atau peran RAM untuk mengizinkan pengguna RAM atau peran RAM mengakses semua kluster. Untuk informasi lebih lanjut, lihat Memberikan Izin RBAC kepada Pengguna RAM atau Peran RAM.
Setelah langkah-langkah sebelumnya selesai, pengguna RAM atau peran RAM ditetapkan sebagai administrator izin. Anda dapat menggunakan pengguna RAM atau peran RAM untuk memberikan izin RAM dan izin RBAC kepada pengguna RAM lainnya atau peran RAM lainnya.

Kode kesalahan untuk izin tidak cukup

Jika Anda tidak memiliki izin yang diperlukan saat menggunakan konsol ACS atau memanggil API ACS untuk melakukan operasi, konsol ACS atau API akan mengembalikan kode kesalahan yang menunjukkan izin yang diperlukan. Tabel berikut menjelaskan kode kesalahan yang menunjukkan izin RBAC yang diperlukan pada kluster.

Kode kesalahan atau pesan kesalahan	Izin RBAC yang diperlukan pada kluster
ForbiddenCheckControlPlaneLog	Izin administrator atau insinyur O&M.
ForbiddenHelmUsage	Izin administrator.
ForbiddenRotateCert	Izin administrator.
ForbiddenQueryClusterNamespace	Izin administrator, insinyur O&M, pengembang, atau pengguna terbatas.

Container Compute Service：Memberikan Izin RBAC kepada Pengguna RAM atau Peran RAM

Ikhtisar