Container Service for Kubernetes (ACK) は、複数の Alibaba Cloud サービスと統合されています。RAM ユーザーが ACK コンソールにアクセスする際、特定のコンソール機能を利用するには、それら依存サービスに対する権限が必要です。本ページでは、各 ACK コンソール機能に対応する依存サービスおよび最低限必要な権限を一覧表示します。
-
本ページでは、依存クラウドサービスに関する権限のみを説明します。ACK コンソール自体の管理を行うには、RAM ユーザーに AliyunCSFullAccess または必要なカスタム権限も付与してください。詳細については、「RAM を使用したクラスターおよびクラウドリソースへのアクセス許可」をご参照ください。
-
依存サービスに対しては、RAM ユーザーが新規リソースを作成する必要がない限り、読み取り専用権限のみを付与してください。たとえば、RAM ユーザーがクラスター作成時に既存の Virtual Private Cloud (VPC) を選択する場合は、
AliyunVPCReadOnlyAccessのみを付与します。AliyunVPCFullAccessは、RAM ユーザーが新規 VPC を作成する場合にのみ付与してください。 -
依存サービスの権限設定後は、RBAC を使用してクラスター内のリソースに対する操作権限を管理し、RAM ユーザーがクラスター資源を管理できるようにしてください。
権限リファレンス
|
機能 |
依存サービス |
システム権限 |
アクション |
リソース |
コンソールで管理される権限 |
|
クォータの追加申請 |
クォータセンター |
AliyunQuotasFullAccess |
quotas:ListProductQuotas |
* |
サービスのクォータを一覧表示します。 |
|
quotas:ListProductQuotaDimensions |
* |
サービスがサポートするクォータディメンションを一覧表示します。 |
|||
|
quotas:ListProductDimensionGroups |
* |
サービスのディメンショングループを一覧表示します。 |
|||
|
quotas:ListDependentQuotas |
* |
指定されたクォータに依存するクォータを一覧表示します。 |
|||
|
quotas:CreateQuotaApplication |
* |
クォータ増量申請を送信します。 |
|||
|
クラスターの作成 |
料金とコスト |
AliyunBSSFullAccess / AliyunBSSReadOnlyAccess |
bssapi:GetPayAsYouGoPrice |
* |
クラスター作成時に選択したリソースの従量課金価格を表示します。 |
|
VPC |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVSwitches |
* |
クラスター構成 > ネットワーク設定 > VPC > 既存の VPC を選択 |
|
|
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVpcs |
* |
クラスター構成 > ネットワーク設定 > vSwitch > 既存の vSwitch を選択 |
||
|
AliyunVPCFullAccess |
vpc:CreateVpc |
* |
クラスター構成 > ネットワーク設定 > VPC > VPC の作成 |
||
|
AliyunVPCFullAccess |
vpc:CreateVSwitch |
* |
クラスター構成 > ネットワーク設定 > vSwitch > vSwitch の作成 |
||
|
Server Load Balancer (SLB) |
AliyunSLBFullAccess / AliyunSLBReadOnlyAccess |
slb:DescribeLoadBalancers |
* |
クラスター構成 > ネットワーク設定 > API Server へのアクセス > SLB ソース > 既存の VPC を選択 |
|
|
AliyunSLBFullAccess / AliyunSLBReadOnlyAccess |
slb:DescribeLoadBalancerListeners |
* |
|||
|
AliyunSLBFullAccess |
slb:CreateLoadBalancer |
* |
クラスター構成 > ネットワーク設定 > API Server へのアクセス > SLB ソース > 作成 |
||
|
Elastic Compute Service (ECS) |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeSecurityGroups |
* |
クラスター設定 > ネットワーク設定 > セキュリティグループ > 既存のセキュリティグループの選択 |
|
|
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribePrice |
* |
ノードプール構成 > インスタンスとイメージ > インスタンスタイプ — 選択した ECS インスタンスタイプの価格を表示します。 |
||
|
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeImages |
* |
ノードプール構成 > インスタンスとイメージ > オペレーティングシステム — カスタムイメージおよび Marketplace イメージを一覧表示します。 |
||
|
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeKeyPairs |
* |
ノードプール構成 > インスタンスとイメージ > ログイン方式 > キーペア |
||
|
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeDeploymentSets |
* |
Master 構成 > デプロイメントセット > デプロイメントセットを選択 |
||
|
AliyunECSFullAccess |
ecs:CreateSecurityGroup |
* |
クラスター構成 > ネットワーク設定 > セキュリティグループ — 基本または高度セキュリティグループを作成します。 |
||
|
Key Management Service (KMS) |
AliyunKMSFullAccess / AliyunKMSReadOnlyAccess |
kms:ListKeys |
* |
クラスター構成 > 高度なオプション(任意) > シークレット暗号化 > キーを選択 |
|
|
Auto Scaling |
AliyunESSFullAccess / AliyunESSReadOnlyAccess |
ess:DescribePatternTypes |
* |
ノードプール構成 > インスタンス構成モード > インスタンス属性を指定 |
|
|
ApsaraDB RDS |
AliyunRDSFullAccess / AliyunRDSReadOnlyAccess |
rds:DescribeDBInstances |
* |
ノードプール構成 > 高度なオプション(任意) > RDS ホワイトリスト > RDS インスタンスを選択 |
|
|
Application Load Balancer (ALB) |
AliyunALBFullAccess / AliyunALBReadOnlyAccess |
alb:ListLoadBalancers |
* |
コンポーネント構成 > ALB イングレス > ALB イングレス > 既存 |
|
|
AliyunALBFullAccess |
alb:CreateLoadBalancer |
* |
コンポーネント構成 > ALB イングレス > ALB イングレス > 新規 |
||
|
Microservices Engine (MSE) |
AliyunMSEFullAccess / AliyunMSEReadOnlyAccess |
mse:ListGateway |
* |
コンポーネント構成 > ALB イングレス > MSE イングレス > 既存 |
|
|
AliyunMSEFullAccess |
mse:AddGateway |
* |
コンポーネント構成 > ALB イングレス > MSE イングレス > 新規 |
||
|
Simple Log Service (SLS) |
AliyunLogFullAccess / AliyunLogReadOnlyAccess |
log:ListProject |
* |
|
|
|
AliyunLogFullAccess |
log:CreateProject |
* |
|
||
|
クラスター情報 > 基本情報 |
VPC |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVSwitches |
* |
コントロールプレーンの vSwitch を置き換える際に vSwitch を一覧表示します。 |
|
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeEipAddresses |
* |
API Server のパブリックエンドポイントを置き換える際に EIP を一覧表示します。 |
||
|
KMS |
AliyunKMSFullAccess / AliyunKMSReadOnlyAccess |
kms:ListKeys |
* |
シークレット暗号化を有効化します。 |
|
|
クラスター情報 > クラスター監視 |
Application Real-Time Monitoring Service (ARMS) |
AliyunARMSFullAccess / AliyunARMSReadOnlyAccess |
arms:ListDashboards |
* |
クラスターの Grafana ダッシュボードを一覧表示します。 |
|
Cloud Shell でのクラスター管理 |
Cloud Shell |
AliyunCloudShellFullAccess |
cloudshell:CreateEnvironment |
* |
Cloud Shell 環境およびセッションを作成します。 |
|
cloudshell:AttachStorage |
* |
||||
|
cloudshell:DetachStorage |
* |
||||
|
cloudshell:CreateSession |
* |
||||
|
cloudshell:DownloadFile |
* |
Cloud Shell でのファイルのアップロードおよびダウンロードを行います。 |
|||
|
cloudshell:UploadFile |
* |
||||
|
File Storage NAS (NAS) |
AliyunNASFullAccess |
nas:DescribeFileSystems |
* |
NAS ファイルシステムを作成し、バインドします。 |
|
|
nas:CreateFileSystem |
* |
||||
|
nas:DescribeAccessRules |
* |
||||
|
ノードプール > ノードプールの作成 |
ECS |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeImages |
* |
オペレーティングシステムを選択する際に、カスタムイメージおよび Marketplace イメージを一覧表示します。 |
|
ecs:DescribePrice |
* |
ECS インスタンスタイプの現在の価格を表示します。 |
|||
|
ノードプール > ノードプールの作成 または 編集 |
VPC |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVpcs |
* |
利用可能な VPC を一覧表示します。 |
|
ノードプール > ログインモード |
ECS |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeKeyPairs |
* |
SSH ログイン用のキーペアを一覧表示します。 |
|
ノードプール > 既存ノードの追加 |
ECS |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeInstances |
* |
ノードプールに追加可能な ECS インスタンスを一覧表示します。 |
|
ecs:DescribeSecurityGroups |
* |
セキュリティグループを一覧表示します。 |
|||
|
ノードプール > 詳細 > スケーリングアクティビティ |
Auto Scaling |
AliyunESSFullAccess / AliyunESSReadOnlyAccess |
ess:DescribeScalingActivities |
* |
スケーリングアクティビティを一覧表示します。 |
|
ess:DescribeScalingActivityDetail |
* |
スケーリングアクティビティの詳細を表示します。 |
|||
|
ess:DescribeLifecycleActions |
* |
スケーリングアクティビティのライフサイクルアクションを表示します。 |
|||
|
CloudOps Orchestration Service (OOS) |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oos:ListExecutions |
* |
スケーリングアクティビティに関連付けられた OOS 実行記録を一覧表示します。 |
|
|
ワークロード > イメージから作成 |
Container Registry |
AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess |
cr:ListInstance |
* |
Container Registry インスタンスを一覧表示します。 |
|
cr:ListInstanceDomain |
* |
Container Registry インスタンスのドメインを一覧表示します。 |
|||
|
cr:ListRepository |
* |
Container Registry インスタンス内のイメージリポジトリを一覧表示します。 |
|||
|
cr:ListArtifactTag |
* |
Container Registry インスタンス内のイメージタグを一覧表示します。 |
|||
|
アプリケーション > Knative > 監視ダッシュボード |
ARMS |
AliyunARMSFullAccess / AliyunARMSReadOnlyAccess |
arms:InstallAddon |
* |
ARMS アドオンをインストールします。 |
|
検査および診断 > クラスター検査 および 診断 |
RAM |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:GetRole |
acs:ram:*:*:role/aliyuncisdefaultrole |
障害診断およびクラスター検査に必要な、AliyunCISDefaultRole の存在を確認します。 |
|
検査および診断 > クラスターチェック > ログ |
SLS |
AliyunLogFullAccess |
log:GetDashboard |
* |
ログデータおよびダッシュボードを照会します。 |
|
log:ListDashboard |
* |
||||
|
log:ListLogStores |
* |
||||
|
log:ListSavedSearch |
* |
||||
|
log:GetLogStoreLogs |
* |
||||
|
log:GetSavedSearch |
* |
保存済みのログ検索を取得します。 |
|||
|
log:GetIndex |
* |
ログ インデックスの構成を読み取りおよび更新します。 |
|||
|
log:UpdateIndex |
* |
||||
|
log:GetLogStore |
* |
||||
|
log:CreateDashboardSharing |
* |
パスワード不要のダッシュボード共有を作成します。 |
|||
|
操作 > ログセンター > コントロールプレーンコンポーネントログ |
SLS |
AliyunLogFullAccess / AliyunLogReadOnlyAccess |
log:ListProject |
* |
Logstore を選択するために SLS プロジェクトを一覧表示します。 |
|
操作 > ログセンター > ネットワークコンポーネントログ |
SLS |
AliyunLogFullAccess |
log:GetProjectLogs |
* |
ALB イングレスログを管理します。 |
|
log:GetResourceRecord |
* |
||||
|
log:CreateResourceRecord |
* |
||||
|
log:UpdateResourceRecord |
* |
||||
|
セキュリティ > 検査 |
Security Center |
AliyunYundunSASFullAccess |
yundun-sas:DescribeVersionConfig |
* |
購入済みの Security Center エディションを表示します。 |
|
yundun-sas:GetClusterSuspEventStatistics |
* |
セキュリティアラート統計情報を表示します。 |
|||
|
yundun-sas:ListAccountsInResourceDirectory |
* |
||||
|
yundun-sas:DescribeMonitorAccounts |
* |
||||
|
yundun-sas:DescribeSuspEvents |
* |
||||
|
yundun-sas:ListGroups |
* |
||||
|
yundun-sas:DescribeClusterVulStatistics |
* |
脆弱性リスク統計情報および詳細を表示します。 |
|||
|
yundun-sas:DescribeGroupedVul |
* |
||||
|
yundun-sas:DescribeVulExportInfo |
* |
||||
|
yundun-sas:ExportVul |
* |
||||
|
yundun-aegis:DescribeVulNumStatistics |
* |
||||
|
yundun-sas:DescribeFixUsedCount |
* |
||||
|
yundun-sas:DescribeVulList |
* |
||||
|
yundun-sas:GetClusterCheckItemWarningStatistics |
* |
ベースラインリスク統計情報および項目を表示します。 |
|||
|
yundun-sas:DescribeRiskType |
* |
||||
|
yundun-sas:ListCheckItemWarningSummary |
* |
||||
|
yundun-sas:ValidateHcWarnings |
* |
||||
|
yundun-sas:DescribeCheckWarningMachines |
* |
||||
|
yundun-sas:GetInterceptionSummary |
* |
セキュリティ検査ページ全体で、アセットおよびインスタンスのクエリをサポートします。 |
|||
|
yundun-sas:ListInterceptionHistory |
* |
||||
|
yundun-sas:ListClusterInterceptionConfig |
* |
||||
|
yundun-sas:DescribeGroupedInstances |
* |
セキュリティ検査ページ全体で資産およびインスタンスの照会をサポートします。 |
|||
|
yundun-sas:DescribeServiceLinkedRoleStatus |
* |
||||
|
yundun-sas:DescribeVulConfig |
* |
||||
|
yundun-sas:GetAssetDetailByUuid |
* |
||||
|
yundun-sas:ListPluginForUuid |
* |
||||
|
yundun-sas:IgnoreCheckItems |
* |
ベースラインリスク項目を承認または抑制します。 |
|||
|
yundun-sas:ListCheckItemWarningMachine |
* |
コンテナファイアウォールアラートの影響を受けるマシンを一覧表示します。 |
|||
|
ストレージ > CNFS ファイルシステムの作成 |
OSS |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oss:ListBucketsByRegion |
* |
OSS バケットを一覧表示します(ファイルシステムタイプを OSS に設定する場合)。 |
|
アプリケーションバックアップ |
OSS |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oss:ListBucketsByRegion |
* |
バックアップボールトを作成する際に OSS バケットを一覧表示します。 |
|
承認 > RAM ユーザー |
RAM |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:ListUserBasicInfos |
* |
すべての RAM ユーザーを一覧表示します。 |
|
承認 > RAM ロール |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:ListRoles |
* |
すべての RAM ロールを一覧表示します。 |