ACK One mengontrol akses melalui tiga lapisan: peran terkait layanan, kebijakan RAM, dan izin RBAC.
Siapa perlu melakukan apa
| Peran | Apa yang perlu Anda konfigurasikan |
|---|---|
| Pemilik Akun Alibaba Cloud | Lengkapi otorisasi peran terkait layanan saat pertama kali digunakan. Akun Anda memiliki izin penuh secara default. |
| RAM Account Administrator | Lengkapi otorisasi peran terkait layanan atas nama organisasi. Sambungkan kebijakan sistem RAM ke Pengguna RAM atau Peran RAM, dan berikan izin RBAC pada setiap kluster. |
| Pengguna RAM atau Peran RAM | Minta administrator Anda untuk menyambungkan kebijakan RAM dan memberikan izin RBAC. |
Jenis izin
Izin ACK One berlaku pada dua tingkat:
-
Izin control-plane (lapisan RAM): Mengontrol siapa yang dapat mengelola sumber daya kluster ACK One—seperti membuat kluster, melihat konfigurasi, dan memanggil API ACK One. Izin ini dicakup oleh peran terkait layanan dan kebijakan sistem RAM.
-
Izin data-plane (lapisan RBAC): Mengontrol siapa yang dapat mengelola objek Kubernetes di dalam kluster—seperti men-deploy aplikasi, mengelola pipeline GitOps, dan menjalankan alur kerja Argo.
Kedua tingkat tersebut wajib. Kebijakan RAM saja tidak memberikan akses ke Kubernetes.
| Jenis izin | Siapa yang membutuhkannya | Apa yang dikontrolnya |
|---|---|---|
| Peran terkait layanan | Pengaturan pertama kali: Akun Alibaba Cloud atau administrator akun RAM | Akses ACK One ke layanan Alibaba Cloud lainnya |
| Kebijakan sistem RAM | Pengguna RAM dan Peran RAM (Akun Alibaba Cloud memiliki izin penuh secara default) | Akses ke sumber daya kluster ACK One melalui Konsol dan API |
| Izin RBAC | Pengguna RAM dan Peran RAM (Akun Alibaba Cloud memiliki izin penuh secara default) | Akses ke sumber daya Kubernetes di dalam kluster ACK One |
Peran terkait layanan
ACK One mengasumsikan peran terkait layanan untuk mengakses layanan Alibaba Cloud lainnya atas nama Anda, seperti membuat instans Elastic Container Instance atau mengelola sumber daya VPC.
Untuk daftar lengkap izin yang diberikan setiap peran, lihat Izin peran terkait layanan untuk ACK One.
| Nama peran | Apa yang diaktifkannya |
|---|---|
| AliyunCSDefaultRole | Akses manajemen kluster ke Elastic Compute Service (ECS), Virtual Private Cloud (VPC), Server Load Balancer (SLB), Resource Orchestration Service (ROS), dan Auto Scaling. Diperlukan untuk semua fitur ACK One. |
| AliyunServiceRoleForAdcp | Akses manajemen kluster ke ECS, VPC, dan SLB. Diperlukan untuk semua fitur ACK One. |
| AliyunAdcpServerlessKubernetesRole | Instans fleet dan kluster Kubernetes untuk alur kerja Argo terdistribusi mengakses VPC, ECS, Alibaba Cloud DNS PrivateZone, Elastic Container Instance, dan Simple Log Service (SLS). Diperlukan untuk semua fitur ACK One. |
| AliyunAdcpManagedMseRole | Instans fleet mengakses Microservices Engine (MSE). Hanya diperlukan untuk gerbang multi-kluster. |
| AliyunCSManagedKubernetesRole | Instans fleet mengakses sumber daya ACK. |
| AliyunCSManagedLogRole | Komponen logging mengakses layanan Alibaba Cloud lainnya. |
| AliyunCSManagedCmsRole | Komponen CMS mengakses layanan Alibaba Cloud lainnya. |
| AliyunCSManagedArmsRole | Plugin Application Real-Time Monitoring Service (ARMS) mengakses layanan Alibaba Cloud lainnya. |
Peran terkait layanan dibuat secara otomatis. Saat pertama kali membuka Konsol ACK One, ikuti prompt untuk menyelesaikan otorisasi.
Hanya Akun Alibaba Cloud dan administrator akun RAM yang dapat menyelesaikan otorisasi peran. Jika Anda melihat error izin, beralihlah ke Akun Alibaba Cloud atau mintalah administrator akun RAM Anda.
Kebijakan sistem RAM
Pengguna RAM dan Peran RAM tidak memiliki izin secara default. Sambungkan satu atau beberapa kebijakan sistem berikut untuk memberikan akses ke sumber daya kluster ACK One.
Lihat Menyambungkan kebijakan izin sistem ke Pengguna RAM atau Peran RAM.
| Kebijakan sistem RAM | Izin | Kluster terdaftar | Instans fleet | Kluster alur kerja |
|---|---|---|---|---|
| AliyunAdcpFullAccess | Membaca dan menulis semua sumber daya ACK One | Ya | Ya | Ya |
| AliyunAdcpReadOnlyAccess | Akses hanya-baca ke semua sumber daya ACK One | Ya | Ya | Ya |
| AliyunCSFullAccess | Membaca dan menulis semua sumber daya Container Service for Kubernetes (ACK) | Ya | Ya | Tidak |
| AliyunCSReadOnlyAccess | Akses hanya-baca ke semua sumber daya ACK | Ya | Ya | Tidak |
| AliyunVPCReadOnlyAccess | Menentukan VPC saat membuat kluster ACK | Ya | Ya | Ya |
| AliyunECIReadOnlyAccess | Menjadwalkan pod ke instans elastic container | Ya | Ya | Ya |
| AliyunLogReadOnlyAccess | Memilih proyek log untuk kluster, atau melihat data inspeksi konfigurasi | Ya | Ya | Ya |
| AliyunARMSReadOnlyAccess | Melihat data pemantauan dari plugin Managed Service for Prometheus | Ya | Ya | Ya |
| AliyunRAMReadOnlyAccess | Melihat kebijakan RAM yang ada | Ya | Ya | Ya |
| AliyunECSReadOnlyAccess | Menambahkan node yang sudah ada ke kluster ACK, atau melihat detail node | Ya | Tidak | Tidak |
| AliyunContainerRegistryReadOnlyAccess | Melihat gambar aplikasi dalam Akun Alibaba Cloud | Ya | Tidak | Tidak |
| AliyunAHASReadOnlyAccess | Menggunakan fitur topologi kluster | Ya | Tidak | Tidak |
| AliyunYundunSASReadOnlyAccess | Melihat data pemantauan waktu proses untuk kluster ACK | Ya | Tidak | Tidak |
| AliyunKMSReadOnlyAccess | Mengaktifkan Enkripsi Secret saat membuat kluster ACK | Ya | Tidak | Tidak |
| AliyunESSReadOnlyAccess | Melihat, mengubah, dan menyesuaikan skala kelompok node | Ya | Tidak | Tidak |
Izin RBAC
Kebijakan RAM mengontrol akses ke ACK One sebagai layanan, tetapi tidak ke sumber daya Kubernetes di dalam kluster. Berikan izin RBAC pada kluster dan namespace tertentu untuk operasi seperti men-deploy aplikasi, mengelola pipeline GitOps, atau menjalankan alur kerja Argo.
ACK One menyediakan peran RBAC pra-definisi berikut:
Instans fleet dan kluster alur kerja
| Peran RBAC | Cakupan izin | Instans fleet | Kluster alur kerja |
|---|---|---|---|
| admin (administrator) | Akses baca dan tulis ke sumber daya tingkat kluster dan semua namespace | Ya | Ya |
| dev (developer) | Akses baca dan tulis ke sumber daya dalam namespace yang ditentukan | Ya | Ya |
| gitops-dev (GitOps developer) | Akses baca dan tulis ke sumber daya aplikasi dalam namespace argocd | Ya | Tidak |
Lihat Izin RBAC pada kluster terdaftar.
Lihat Memberikan izin RBAC kepada Pengguna RAM atau Peran RAM.