Topik ini menjelaskan cara membuat kebijakan kustom untuk memberikan pengguna RAM atau peran RAM izin dalam menanyakan, memperluas, dan menghapus kluster Container Compute Service (ACS).
Prasyarat
Anda harus memiliki pemahaman dasar tentang elemen kebijakan, struktur, dan sintaksis sebelum membuat kebijakan kustom. Untuk informasi lebih lanjut, lihat Elemen Kebijakan.
Kebijakan kustom
Kebijakan sistem yang disediakan oleh Alibaba Cloud Container Compute Service (ACS) bersifat umum dan mungkin tidak memenuhi persyaratan bisnis Anda. Anda dapat membuat kebijakan kustom untuk menerapkan manajemen halus pada ACS. Sebagai contoh, jika Anda ingin mengontrol izin operasi pada kluster tertentu, Anda harus membuat kebijakan kustom untuk memenuhi kebutuhan tersebut.
Sebelum menggunakan kontrol akses berbasis peran (RBAC) untuk memberikan pengguna RAM atau peran RAM izin mengelola kluster, pastikan bahwa pengguna RAM atau peran RAM telah diberi izin di konsol RAM. Anda dapat memberikan izin baca dan tulis sesuai dengan kebutuhan bisnis Anda.
Izin Baca: Melihat informasi dasar tentang kluster tertentu, seperti konfigurasi kluster dan file kubeconfig.
Izin Tulis: Mengelola kluster tertentu, seperti penskalaan, peningkatan kluster, serta penghapusan node dari kluster.
Sebelum melakukan otorisasi RBAC untuk pengguna RAM atau peran RAM, pastikan bahwa mereka memiliki izin baca-saja pada kluster yang ingin dikelola.
{
"Statement": [
{
"Action": [
"cs:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:cs:*:*:cluster/Cluster ID"
]
}
],
"Version": "1"
}Setelah memberikan pengguna RAM izin yang diperlukan pada kluster, gunakan RBAC untuk memberikan izin pengelolaan sumber daya kluster.
Kebijakan kustom
Kebijakan sistem yang disediakan oleh ACK bersifat umum. Jika kebijakan sistem tidak memenuhi kebutuhan Anda, buatlah kebijakan kustom untuk menerapkan kontrol akses halus pada kluster ACK Anda. Sebagai contoh, jika Anda ingin mengontrol izin operasi pada kluster tertentu, buatlah kebijakan kustom untuk mencapai manajemen halus.
Langkah 1: Buat kebijakan kustom
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON dan masukkan isi kebijakan.
{ "Statement": [{ "Action": [ "cs:Get*", "cs:List*", "cs:Describe*", "cs:ScaleCluster", "cs:DeleteCluster" ], "Effect": "Allow", "Resource": [ "acs:cs:*:*:cluster/Cluster ID" ] }], "Version": "1" }Parameter
Deskripsi
Action
Izin yang ingin Anda berikan. Karakter wildcard didukung.
Resource
Ganti
Cluster IDdengan ID aktual kluster, seperticae93341766c843479ae986b3305xxxxx.Berikan izin pada satu kluster
"Resource": [ "acs:cs:*:*:cluster/Cluster ID" ]Berikan izin pada beberapa kluster
"Resource": [ "acs:cs:*:*:cluster/Cluster ID", "acs:cs:*:*:cluster/Cluster ID" ]Berikan izin pada semua kluster
"Resource": [ "*" ]
Setelah memasukkan isi, klik OK. Di kotak dialog yang muncul, masukkan nama kebijakan dan klik OK untuk membuat kebijakan.
Kembali ke halaman Policies, Anda dapat memasukkan nama atau deskripsi kebijakan di kotak pencarian untuk menemukannya.
Langkah 2: Lampirkan kebijakan kustom ke pengguna RAM atau peran RAM
Anda dapat melampirkan kebijakan kustom dengan cara yang sama seperti melampirkan kebijakan sistem. Untuk informasi lebih lanjut, lihat Lampirkan Kebijakan Sistem ke Pengguna RAM atau Peran RAM.
Referensi
Grant a RAM user or RAM role the permissions to call non-cluster-specific ACK API operations
Jika Anda ingin memberikan pengguna RAM izin untuk memanggil operasi API ACK yang tidak spesifik kluster, seperti DescribeEvents, jangan tentukan ID kluster di bidang Resource dari isi kebijakan.
Blok kode berikut menunjukkan kebijakan RAM saat ini:
{
"Statement": [
{
"Action": [
"cs:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:cs:*:*:cluster/Cluster ID"
]
}
],
"Version": "1"
}