Secara default, pengguna Resource Access Management (RAM) atau peran RAM tidak memiliki izin untuk memanggil API dari layanan Alibaba Cloud. Anda harus memberi otorisasi kepada pengguna RAM atau peran RAM untuk menggunakan API Container Service for Kubernetes (ACK) dan Alibaba Cloud Container Compute Service (ACS), serta melihat kluster di konsol ACS. Topik ini menjelaskan cara memberikan izin kepada pengguna RAM atau peran RAM dengan menggunakan kebijakan sistem atau kebijakan kustom.
Prasyarat
Anda harus memiliki pengetahuan dasar tentang elemen, struktur, dan sintaksis kebijakan sebelum membuat kebijakan kustom. Untuk informasi lebih lanjut, lihat Elemen Kebijakan.
Kebijakan Sistem
Lampirkan kebijakan sistem: Anda dapat menggunakan metode ini untuk memberikan izin baca dan tulis pada semua kluster yang dimiliki oleh akun Alibaba Cloud saat ini. Kami menyarankan Anda menggunakan kebijakan sistem untuk memberikan izin O&M pada semua kluster ACK yang dimiliki oleh akun Alibaba Cloud Anda.
Lampirkan kebijakan sistem ke pengguna RAM atau peran RAM
Akun Alibaba Cloud memiliki izin manajemen penuh atas sumber daya dalam akun tersebut. Anda dapat membuat pengguna RAM dan melampirkan kebijakan AdministratorAccess ke pengguna RAM. Kemudian, Anda dapat menggunakan pengguna RAM sebagai administrator akun untuk mengelola semua sumber daya cloud yang dimiliki oleh akun Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat pengguna RAM sebagai administrator akun.
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih .
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Konfigurasikan parameter Resource Scope.
Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
ResourceGroup: Otorisasi berlaku pada grup sumber daya tertentu.
PentingJika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan bahwa layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan izin kepada pengguna RAM mengelola Instance ECS tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
Pilih kebijakan sistem yang ingin Anda lampirkan.
Klik Grant permissions lalu klik Close.
Kebijakan Kustom
Kebijakan sistem yang disediakan oleh ACK bersifat kasar. Jika kebijakan sistem tidak dapat memenuhi kebutuhan Anda, Anda dapat membuat kebijakan kustom untuk menerapkan kontrol akses yang lebih rinci untuk kluster ACK Anda. Misalnya, jika Anda ingin mengontrol izin operasi pada kluster tertentu, Anda harus membuat kebijakan kustom untuk memenuhi persyaratan ini untuk manajemen yang lebih rinci.
Langkah 1: Buat kebijakan kustom
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON dan masukkan konten kebijakan.
{ "Statement": [{ "Action": [ "cs:Get*", "cs:List*", "cs:Describe*", "cs:ScaleCluster", "cs:DeleteCluster" ], "Effect": "Allow", "Resource": [ "acs:cs:*:*:cluster/Cluster ID" ] }], "Version": "1" }Parameter
Deskripsi
Action
Izin yang ingin Anda berikan. Karakter wildcard didukung.
Resource
Ganti
Cluster IDdengan ID aktual kluster, seperticae93341766c843479ae986b3305xxxxx.Berikan izin pada satu kluster
"Resource": [ "acs:cs:*:*:cluster/Cluster ID" ]Berikan izin pada beberapa kluster
"Resource": [ "acs:cs:*:*:cluster/Cluster ID", "acs:cs:*:*:cluster/Cluster ID" ]Berikan izin pada semua kluster
"Resource": [ "*" ]
Setelah Anda memasukkan konten, klik OK. Di kotak dialog yang muncul, masukkan nama kebijakan dan klik OK untuk membuat kebijakan.
Kembali ke halaman Policies, Anda dapat memasukkan nama atau deskripsi kebijakan ke dalam kotak pencarian untuk menemukan kebijakan.
Langkah 2: Lampirkan kebijakan kustom ke pengguna RAM atau peran RAM
Anda dapat melampirkan kebijakan kustom dengan cara yang sama seperti melampirkan kebijakan sistem. Untuk informasi lebih lanjut, lihat Lampirkan kebijakan sistem ke pengguna RAM atau peran RAM.
Contoh
Authorize a RAM user or RAM role to call non-cluster-specific API operations
Jika Anda ingin memberi otorisasi kepada pengguna RAM atau peran RAM untuk memanggil operasi API non-spesifik kluster, seperti DescribeEvents, jangan tentukan ID kluster di bidang Resource dari konten kebijakan.
Blok kode berikut menunjukkan kebijakan RAM saat ini:
{
"Statement": [
{
"Action": [
"cs:Get*",
"cs:List*",
"cs:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:cs:*:*:cluster/Cluster ID"
]
}
],
"Version": "1"
}Untuk memberikan izin untuk memanggil operasi DescribeEvents, Anda harus menambahkan tindakan RAM yang sesuai cs:DescribeEvents ke kebijakan RAM, seperti yang ditunjukkan dalam blok kode berikut:
{
"Statement": [
{
"Action": [
"cs:DescribeEvents"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"cs:Get*",
"cs:List*",
"cs:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:cs:*:*:cluster/Cluster ID"
]
}
],
"Version": "1"
}Apa yang harus dilakukan selanjutnya
Setelah Anda menyelesaikan langkah-langkah dalam topik ini, Anda perlu memberikan izin RBAC pada sumber daya Kubernetes sehingga pengguna RAM atau peran RAM dapat mengelola sumber daya internal dalam kluster. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau peran RAM.
Sebelum Anda melakukan otorisasi RBAC untuk pengguna RAM atau peran RAM, pastikan bahwa pengguna RAM atau peran RAM memiliki izin baca-saja pada kluster yang ingin Anda kelola.
{ "Statement": [ { "Action": [ "cs:Get*", "cs:List*", "cs:Describe*" ], "Effect": "Allow", "Resource": [ "acs:cs:*:*:cluster/Cluster ID" ] } ], "Version": "1" }