Konfigurasikan izin pemantauan Prometheus untuk RAM user di Container Service - Managed Service for Prometheus

Dokumen ini menjelaskan cara mengonfigurasi izin bagi RAM user untuk mengelola pemantauan Prometheus di Konsol Container Service.

Prasyarat

Anda memiliki izin untuk menginstal komponen di Konsol Container Service. Untuk informasi selengkapnya, lihat Gunakan RAM untuk memberikan izin akses ke kluster dan resource cloud.
Anda telah mengaktifkan Prometheus Service.

Konfigurasi izin RAM user

Konfigurasi izin untuk instal atau perbarui pemantauan Prometheus

Anda dapat memberikan izin kepada RAM user dengan salah satu metode berikut:

Berikan kebijakan sistem AliyunCloudMonitorFullAccess kepada RAM user.

Berikan izin kustom kepada RAM user.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cms:GetCmsService",
        "cms:ListIntegrationPolicies",
        "cms:ListIntegrationPolicyDashboards",
        "cms:GetAddonRelease",
        "cms:GetPrometheusInstance",
        "log:QueryPrometheusMetrics",
        "log:GetLogStoreLogs",
        "cms:CreateAddonRelease",
        "cms:UpdateAddonRelease"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Konfigurasi izin untuk melihat pemantauan Prometheus

Anda dapat memberikan izin kepada RAM user dengan salah satu metode berikut:

Berikan kebijakan sistem AliyunCloudMonitorReadOnlyAccess kepada RAM user.

Berikan izin kustom kepada RAM user.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cms:GetCmsService",
        "cms:ListIntegrationPolicies",
        "cms:ListIntegrationPolicyDashboards",
        "cms:GetAddonRelease",
        "cms:GetPrometheusInstance",
        "log:QueryPrometheusMetrics",
        "log:GetLogStoreLogs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Konfigurasi untuk izin berbasis resource group

Jika Anda memberikan RAM user izin AliyunCloudMonitorFullAccess atau AliyunCloudMonitorReadOnlyAccess dan membatasi izin tersebut ke resource group tertentu, Anda tidak dapat menginstal komponen atau melihat dashboard di Konsol Container Service. Hal ini karena versi saat ini dari Prometheus Service belum sepenuhnya terintegrasi dengan resource group. Berikan izin tambahan berikut kepada RAM user:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cms:GetCmsService",
        "cms:ListIntegrationPolicies",
        "cms:ListIntegrationPolicyDashboards",
        "cms:GetAddonRelease"
      ],
      "Resource": [
        "acs:cms:*:{userId}:cmsservice/*",
        "acs:cms:*:{userId}:integrationpolicy/*",
        "acs:cms:*:{userId}:addonrelease/*"
      ]
    }
  ]
}