DescribeUserPermission - Container Service for Kubernetes - Alibaba Cloud ドキュメントセンター

Container Service for Kubernetes (ACK) クラスターでは、さまざまな Resource Access Management (RAM) ユーザーまたは RAM ロールを作成して指定し、異なるアクセス権限を付与できます。これにより、アクセスの制御とリソースの隔離が保証されます。DescribeUserPermission 操作を呼び出すことで、RAM ユーザーまたは RAM ロールに付与されている ACK クラスター上の権限をクエリできます。これには、アクセスが許可されているリソース、権限の範囲、事前定義ロール、権限ソースなどが含まれます。

操作説明

注意事項：

RAM ユーザーとして、または RAM ロールを引き受けてこの操作を呼び出す場合、現在のアカウントがロールベースアクセス制御 (RBAC) の管理者権限を持つクラスター上で付与された権限のみが返されます。すべてのクラスターの権限をクエリしたい場合は、すべてのクラスターに対して RBAC の管理者権限を持つアカウントを使用する必要があります。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

アクション：特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。
API：アクションを具体的に実行するための API。
アクセスレベル：各 API に対して事前定義されているアクセスの種類。有効な値：create、list、get、update、delete。
リソースタイプ：アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。
- リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。
- リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。
条件キー：サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。
依存アクション：ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

cs:GetUserPermissions

get

*All Resource

*

なし

リクエスト構文

GET /permissions/users/{uid} HTTP/1.1

パスパラメーター

パラメーター	型	必須 / 任意	説明	例
uid	string	必須	RAM ユーザーまたは RAM ロールの ID。 RAM ユーザーの権限をクエリする場合は、RAM ユーザーの UID を使用します。 RAM ロールの権限をクエリする場合は、RAM ロールの ID を使用します。	206945240368******

リクエストパラメーター

パラメーター

型

必須 / 任意

説明

例

リクエストパラメーターは必要ありません。

レスポンスフィールド

フィールド	型	説明	例
	array	レスポンスボディ。
	object	RAM ユーザーのクラスター権限付与の詳細。
resource_id	string	権限付与の設定。有効な値：権限がクラスターにスコープされている場合は、`{cluster_id}` が返されます。権限がクラスターの名前空間にスコープされている場合は、`{cluster_id}/{namespace}` が返されます。権限がすべてのクラスターにスコープされている場合は、`all-clusters` が返されます。	c1b542****
resource_type	string	権限付与のタイプ。有効な値： `cluster`：権限がクラスターにスコープされていることを示します。 `namespace`：権限がクラスターの名前空間にスコープされていることを示します。 `console`：権限がすべてのクラスターにスコープされていることを示します。	cluster
role_name	string	カスタムロールの名前。カスタムロールが割り当てられている場合、この値は割り当てられたカスタムロールの名前になります。	terway-pod-reader
role_type	string	事前定義ロールのタイプ。有効な値： `admin`：管理者 `ops`：O&M エンジニア `dev`：開発者 `restricted`：制限付きユーザー `custom`：カスタムロール	admin
is_owner	integer	権限がクラスターの所有者に付与されているかどうかを示します。 `0`：権限がクラスターの所有者に付与されていないことを示します。 `1`：権限がクラスターの所有者に付与されていることを示します。クラスターの所有者は管理者です。	1
is_ram_role	integer	権限が RAM ロールに付与されているかどうかを示します。有効な値： `0`：権限が RAM ロールに付与されていないことを示します。 `1`：権限が RAM ロールに付与されていることを示します。	1

parent_id パラメーターは非推奨です。このパラメーターは使用しないでください。

例

成功レスポンス

JSONJSON

[
  {
    "resource_id": "c1b542****",
    "resource_type": "cluster",
    "role_name": "terway-pod-reader",
    "role_type": "admin",
    "is_owner": 1,
    "is_ram_role": 1
  }
]

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。