このトピックでは、権限管理に関するよくある質問への回答を提供します。
カテゴリ | 問題 |
権限付与の失敗 | |
RBAC 権限付与 | |
RAM 権限付与 |
コンソールに次のエラーメッセージが表示された場合はどうすればよいですか: ForbiddenQueryClusterNamespace Forbidden query namespaces?
問題
コンソールに次のエラーメッセージが表示されます。ForbiddenQueryClusterNamespace Forbidden query namespaces。
原因と解決策
使用している Resource Access Management (RAM) ユーザーまたは RAM ロールには、クラスター内の名前空間に対するロールベースアクセス制御 (RBAC) 権限がありません。 [権限付与] ページに移動して、RAM ユーザーまたは RAM ロールに RBAC ロールを割り当てる必要があります。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールに次のエラーメッセージが表示された場合はどうすればよいですか: APISERVER_403 エラー?
問題
コンソールに次のエラーメッセージが表示されます。APISERVER_403。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、クラスターに必要な RBAC 権限がありません。 [権限付与] ページに移動して、必要な権限を RAM ユーザーに付与する必要があります。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。 RBAC 権限付与の詳細については、「RBAC 権限付与の使用」をご参照ください。
コンソールに次のエラーメッセージが表示された場合はどうすればよいですか: 現在の RAM ユーザーには管理権限がありません。 権限を取得するには、Alibaba Cloud アカウントの所有者または管理者に連絡してください?
問題
コンソールに次のエラーメッセージが表示されます。現在の RAM ユーザーには管理権限がありません。 権限を取得するには、Alibaba Cloud アカウントの所有者または管理者に連絡してください。
原因
使用している RAM ユーザーまたは RAM ロールには、必要な RAM 権限またはクラスターに対する RBAC 管理者権限がありません。 デフォルトでは、RAM ユーザーまたは RAM ロールを使用して、他の RAM ユーザーまたは RAM ロールに RBAC 権限を付与することはできません。 次の例は、RAM ユーザー A または RAM ロール A に、他の RAM ユーザーまたは RAM ロールに RBAC 権限を付与する権限を付与する方法を示しています。
解決策
RAM ユーザーまたは RAM ロールに、他の RAM ユーザーまたは RAM ロールに RBAC 権限を付与する権限を付与するには、次の操作を実行します。
RBAC 管理者権限: 事前に定義された RBAC 管理者ロールまたは cluster-admin ロールを RAM ユーザー A または RAM ロール A に割り当て、RAM ユーザーまたは RAM ロールがアクセスするクラスターと名前空間を指定する必要があります。
RAM 権限: RAM ポリシーを RAM ユーザー A または RAM ロール A にアタッチする必要があります。 RAM ポリシーには、次の権限が含まれている必要があります。
同じ Alibaba Cloud アカウントに属する他の RAM ユーザーまたは RAM ロールを照会する。
指定された RAM ユーザーまたは RAM ロールに RAM ポリシーをアタッチする。
RAM ユーザーまたは RAM ロールの RBAC 権限を照会する。
RBAC 権限付与を実行する。
次の方法を使用して、RAM ポリシーを RAM ユーザー A または RAM ロール A にアタッチします。
RAM コンソール にログインし、カスタム RAM ポリシーを RAM ユーザー A または RAM ロール A にアタッチします。 詳細については、「カスタム RAM ポリシーを作成する」をご参照ください。 次のテンプレートを使用して、カスタム RAM ポリシーを作成します。
{
"Statement": [{
"Action": [
"ram:Get*",
"ram:List*",
"cs:GetUserPermissions",
"cs:GetSubUsers",
"cs:GrantPermission"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ram:AttachPolicyToUser",
"ram:AttachPolicyToRole"
],
"Effect": "Allow",
"Resource": [
"acs:ram:*:*:policy/xxxxxx",
"acs:*:*:*:user/*"
]
}
],
"Version": "1"
}xxxxxx を、RAM ユーザー A または RAM ロール A が他の RAM ユーザーまたは RAM ロールにアタッチすることを許可する RAM ポリシーの名前に置き換えます。 xxxxxx をアスタリスク (*) に置き換えると、RAM ユーザー A または RAM ロール A は、すべての RAM ポリシーを他の RAM ユーザーまたは RAM ロールにアタッチする権限が付与されます。
上記の RAM ポリシーを RAM ユーザー A または RAM ロール A にアタッチすると、RAM ユーザー A または RAM ロール A は、指定された RAM ポリシーをアタッチし、他の RAM ユーザーまたは RAM ロールに RBAC ロールを割り当てる権限が付与されます。 RAM ユーザー A または RAM ロール A を使用して他の RAM ユーザーまたは RAM ロールに RBAC ロールを割り当てる方法の詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
権限エラーの原因が RAM ポリシーか RBAC 権限かを特定するにはどうすればよいですか?
API またはコンソールから返されるエラーメッセージに基づいて、権限エラーの原因が RAM ポリシーか RBAC 権限かを特定できます。
RAM ポリシーが原因
問題
API またはコンソールは、次のエラーメッセージを返します。
RAM policy Forbidden for action cs:DescribeEvents STSToken policy Forbidden for action cs:DescribeClusterNodes原因
エラーメッセージは、RAM ユーザーまたは RAM ロールにアタッチされている RAM ポリシーに
cs:DescribeEventsアクションが含まれていないことを示しています。解決策
API またはコンソールから返されるエラーメッセージに RAM policy Forbidden または STSToken policy Forbidden が含まれている場合、RAM ユーザーまたは RAM ロールにアタッチされている RAM ポリシーに必要なアクションが含まれていません。 必要なアクションを、RAM ユーザーまたは RAM ロールにアタッチされている RAM ポリシーに追加します。 詳細については、「カスタム RAM ポリシーを作成する」をご参照ください。
RBAC 権限が原因
問題
API またはコンソールは、次のエラーメッセージを返します。
events is forbidden: User "<uid>" cannot list resource "events" in API group "" at the cluster scope ForbiddenQueryClusterNamespace, Forbidden query namespaces原因
エラーメッセージは、RAM ユーザー
<uid>に、リソースイベントを一覧表示するために必要な RBAC 権限がないことを示しています。解決策
API またはコンソールから返されるエラーメッセージに APISERVER_403、User "xxx" cannot xx resource "xx" in API group、または ForbiddenQueryClusterNamespace が含まれている場合、RAM ユーザーに必要な RBAC 権限がありません。 必要な RBAC 権限を RBAC ユーザーに付与します。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
AdministratorAccess ポリシーまたは AliyunCSFullAccess ポリシーがアタッチされている RAM ユーザーを使用してクラスターにアクセスできない場合はどうすればよいですか?
Container Service for Kubernetes (ACK) の権限付与メカニズムは、RAM 権限付与と RBAC 権限付与で構成されています。 詳細については、「権限の概要」をご参照ください。 RAM コンソールで RAM ユーザーに AdministratorAccess ポリシーまたは AliyunCSFullAccess ポリシーをアタッチした後、[権限付与] ページに移動し、RAM ユーザーに RBAC ロールを割り当てて、クラスターに対する権限を付与する必要があります。 RBAC ロールの割り当て方法の詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールにエラーコード ForbiddenCheckControlPlaneLog が表示された場合はどうすればよいですか?
問題
コンソールにエラーコード ForbiddenCheckControlPlaneLog が表示されます。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、事前に定義された RBAC 管理者ロールまたは O&M エンジニアロールが割り当てられていません。 [権限付与] ページに移動して、事前に定義された RBAC 管理者ロールまたは O&M エンジニアロールを使用している RAM ユーザーまたは RAM ロールに割り当てます。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールにエラーコード ForbiddenHelmUsage が表示された場合はどうすればよいですか?
問題
コンソールにエラーコード ForbiddenHelmUsage が表示されます。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、事前に定義された RBAC 管理者ロールが割り当てられていません。 [権限付与] ページに移動して、事前に定義された RBAC 管理者ロールを使用している RAM ユーザーまたは RAM ロールに割り当てます。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールにエラーコード ForbiddenRotateCert が表示された場合はどうすればよいですか?
問題
コンソールにエラーコード ForbiddenRotateCert が表示されます。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、事前に定義された RBAC 管理者ロールが割り当てられていません。 [権限付与] ページに移動して、事前に定義された RBAC 管理者ロールを使用している RAM ユーザーまたは RAM ロールに割り当てます。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールにエラーコード ForbiddenAttachInstance が表示された場合はどうすればよいですか?
問題
コンソールにエラーコード ForbiddenAttachInstance が表示されます。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、事前に定義された RBAC 管理者ロールまたは O&M エンジニアロールが割り当てられていません。 [権限付与] ページに移動して、事前に定義された RBAC 管理者ロールまたは O&M エンジニアロールを使用している RAM ユーザーまたは RAM ロールに割り当てます。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールにエラーコード ForbiddenUpdateKMSState が表示された場合はどうすればよいですか?
問題
コンソールにエラーコード ForbiddenUpdateKMSState が表示されます。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、事前に定義された RBAC 管理者ロールまたは O&M エンジニアロールが割り当てられていません。 [権限付与] ページに移動して、事前に定義された RBAC 管理者ロールまたは O&M エンジニアロールを使用している RAM ユーザーまたは RAM ロールに割り当てます。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
コンソールにエラーコード Forbidden get trigger が表示された場合はどうすればよいですか?
問題
コンソールにエラーコード Forbidden get trigger が表示されます。
原因と解決策
使用している RAM ユーザーまたは RAM ロールには、事前に定義された RBAC 管理者ロール、O&M エンジニアロール、または開発者ロールが割り当てられていません。 [権限付与] ページに移動して、RBAC 管理者ロール、O&M エンジニアロール、または開発者ロールを使用している RAM ユーザーまたは RAM ロールに割り当てます。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
アプリケーションに権限を付与できますか?
はい、アプリケーションに権限を付与できます。 カスタム ClusterRole を作成し、個々のアプリケーションに権限を付与するルールを定義できます。 resourceNames フィールドを使用して、アプリケーションを指定できます。
ACK コンソール にログインします。
左側のナビゲーションウィンドウで、[権限付与] をクリックします。
[権限付与] ページで、[RAM ユーザー] タブをクリックし、権限を付与する RAM ユーザーを見つけ、右側にある [権限の変更] をクリックします。
説明RAM ユーザーまたは RAM ロールとして ACK コンソールにログインする場合は、RAM ユーザーまたは RAM ロールが、管理するクラスターに対して少なくとも読み取り専用権限を持っていることを確認してください。 さらに、RAM ユーザーまたは RAM ロールには、クラスターの cluster-admin ロールまたは管理者ロールが割り当てられている必要があります。 詳細については、「カスタム RAM ポリシーを作成する」をご参照ください。
[権限管理] ページで、[権限の追加] をクリックし、権限を付与するクラスター、名前空間、および権限付与タイプを指定します。 [送信] をクリックします。
説明すべてのクラスターに対する権限を指定した RAM ユーザーに付与することもできます。
特定のクラスターまたは名前空間の RAM ユーザーまたは RAM ロールに、1 つの事前定義済み RBAC ロールと 1 つ以上のカスタム RBAC ロールを割り当てることができます。
次の表に、事前定義済みおよびカスタム RBAC ロールがクラスターおよび名前空間に対して持つ権限を示します。
表 1. ロールと権限
ロール
クラスターリソースに対する RBAC 権限
管理者
すべての名前空間のリソースに対する読み取り/書き込み権限。 ノード、ボリューム、名前空間、およびクォータに対する読み取り/書き込み権限。
O&M エンジニア
コンソールおよびすべての名前空間に表示される Kubernetes リソースに対する読み取り/書き込み権限。 ノード、ボリューム、名前空間、およびクォータに対する読み取り専用権限。
開発者
コンソールおよび指定された名前空間に表示されるリソースに対する読み取り/書き込み権限。
制限付きユーザー
コンソールおよび指定された名前空間に表示されるリソースに対する読み取り専用権限。
カスタムロール
カスタムロールの権限は、選択した ClusterRole によって決まります。 ClusterRole を選択する前に、ClusterRole の権限を確認し、必要な権限のみを RAM ユーザーまたは RAM ロールに付与してください。 詳細については、「カスタム RAM ポリシーを作成する」をご参照ください。
後続の手順の詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
cs:admin ロールが割り当てられている RAM ユーザーまたは RAM ロールが、ACK クラスタにカスタムリソース定義 (CRD) オブジェクトを作成できないのはなぜですか?
クラスターが 2019 年 5 月より前に作成された場合、クラスターのデフォルトの管理者ロールには、特定の Kubernetes リソースにアクセスする権限がありません。 cluster-admin ロールを RAM ユーザーまたは RAM ロールに割り当てることができます。 また、cs:admin ClusterRole を削除してから、ClusterRole を再作成することもできます。
次の YAML テンプレートは例として提供されています。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: cs:admin
rules:
- apiGroups:
- '*'
resources:
- '*'
verbs:
- '*'
- nonResourceURLs:
- '*'
verbs:
- '*'RAM ユーザーまたは RAM ロールを使用して、他の RAM ユーザーまたは RAM ロールに RBAC ロールを割り当てるにはどうすればよいですか?
詳細については、「RAM ユーザーまたは RAM ロールを使用して RBAC 権限を付与する」をご参照ください。
ClusterRoleBinding または RoleBinding に関連付けられている RAM ユーザーまたは RAM ロールを特定するにはどうすればよいですか?
ClusterRoleBinding または RoleBinding の構成にある subjects パラメーターの値に基づいて、ClusterRoleBinding または RoleBinding に関連付けられている RAM ユーザーまたは RAM ロールを特定できます。 subjects パラメーターの kind フィールドの値が User で、name フィールドの値が数字のみ、または数字とハイフン (-) で構成されている場合、name フィールドの値は RAM ユーザー ID または RAM ロール ID を示します。
次の例は、ClusterRoleBinding に関連付けられている RAM ユーザーの ID が 1*** で、RoleBinding に関連付けられている RAM ユーザーの ID が 2*** であることを示しています。
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: 1***-cluster-admin-clusterrolebinding
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: 1***-1673419473
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: 2***-default-rolebinding
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: 'cs:ns:dev'
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: '2***'クラスター作成者の RBAC 権限を変更または取り消すことができないのはなぜですか?
問題
クラスター作成者の RBAC 権限を変更または取り消した後、操作が有効になりません。
原因
クラスター作成者が作成したクラスターを管理できないという問題を防ぐため、ACK は、クラスター作成者の RBAC 権限を変更または取り消すために送信したリクエストを承認しません。
解決策
クラスター作成者の RBAC 権限を取り消す必要がある場合は、次の操作を実行します。
次のコマンドを実行して、クラスター作成者に権限を付与するために作成された ClusterRoleBinding を照会します。
<uid>を、照会する Alibaba Cloud アカウントの UID に置き換えます。kubectl get clusterrolebinding |grep <uid>次のコマンドを実行して、前の手順で返された ClusterRoleBinding をバックアップしてから削除します。
<name>を、前の手順で返された ClusterRoleBinding の名前に置き換えます。kubectl get clusterrolebinding <name> -o yaml > <name>.yaml kubectl delete clusterrolebinding <name>
ターミナル機能を使用するには、どのような権限が必要ですか?
ターミナル機能を使用するには、事前に定義された RBAC 管理者ロール、O&M エンジニアロール、または開発者ロールを使用している RAM ユーザーまたは RAM ロールに割り当てる必要があります。 さらに、RAM ユーザーまたは RAM ロールに cs:DescribeClusterUserKubeconfig 操作を呼び出す RAM 権限を付与する必要があります。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」および「カスタム RAM ポリシーを作成する」をご参照ください。
CloudSSO を使用してコンソールにログインするユーザーに RBAC 権限を付与するにはどうすればよいですか?
問題
CloudSSO を使用してコンソールにログインするユーザー AliyunReservedSSO-Policy-foo-bar-admin/foo.bar に RBAC 権限を付与します。
解決策
ユーザーが CloudSSO を使用してコンソールにログインする場合、ユーザーは RAM ロールとしてログインします。 したがって、ユーザーに権限を付与するには、RAM ロールにのみ RBAC 権限を付与する必要があります。 たとえば、コンソールにログインするユーザーが AliyunReservedSSO-Policy-foo-bar-admin/foo.bar の場合、RAM ロール AliyunReservedSSO-Policy-foo-bar-admin に RBAC 権限を付与する必要があります。 詳細については、「RAM ユーザーまたは RAM ロールに RBAC 権限を付与する」をご参照ください。
すべてのクラスターに対する読み取り専用権限を持つ RAM ユーザーまたは RAM ロールが、特定のクラスターを表示できないのはなぜですか?
問題
RAM コンソールを使用してすべてのクラスターに対する読み取り専用権限が RAM ユーザーまたは RAM ロールに付与され、RBAC を使用して 2 つのクラスターの指定された名前空間へのアクセス権限が付与されています。 以前は、RAM ユーザーはコンソール内のすべてのクラスターを照会できました。 しかし、RAM ユーザーは現在、クラスターの一部しか照会できません。 RAM ユーザーの権限は最近変更されていません。
原因
別の RAM ユーザーまたは RAM ロールを使用して ACK コンソールにログインしたか、リソースグループを選択しました。 この場合、権限を付与した RAM ユーザーまたは RAM ロールを使用して ACK コンソールにログインし、ACK コンソールのトップナビゲーションバーで [すべてのリソース] を選択する必要があります。
解決策
ACK コンソール にログインします。
トップナビゲーションバーで、 を選択します。
ACK コンソールの右上隅にあるアバターにポインターを移動し、必要な権限を持つ RAM ユーザーまたは RAM ロールとしてログインしていることを確認します。
RAM ユーザーまたは RAM ロールにクラスターを作成する権限を付与するにはどうすればよいですか?
Alibaba Cloud アカウントを使用して、システムロールを ACK に割り当てます。
サービスロールの権限付与は 1 回限りの操作です。完了したかどうか不明な場合は、次の手順を実行します。
Alibaba Cloud アカウントでログインします。
[RAM クイック承認] にアクセスし、ACK サービスロールの一括承認を実行します。
ACK のデフォルトのシステムロールの詳細については、「ACK ロール」をご参照ください。
Alibaba Cloud アカウントを使用して、カスタム RAM ポリシーを RAM ユーザーまたは RAM ロールにアタッチします。
RAM ユーザーまたは RAM ロールに
cs:CreateCluster権限があることを確認します。詳細については、「カスタム RAM ポリシーを作成する」をご参照ください。次の YAML テンプレートは例です。
{ "Statement": [{ "Action": [ "cs:CreateCluster" ], "Effect": "Allow", "Resource": [ "*" ] }], "Version": "1" }説明クラスタが作成されると、システムは仮想プライベートクラウド (VPC) などのクラウドリソースをクラスタに関連付けます。 RAM ユーザーまたは RAM ロールに必要なクラウドリソースへのアクセス権限が付与されていることを確認してください。
RAM ユーザーに VPC のリスト権限があることを確認します。この権限を付与するには、AliyunVPCReadOnlyAccess ポリシーを RAM ユーザーにアタッチします。
他のリソースに対する権限を付与する場合は、対応するクラウドサービスに関連するシステムポリシーと承認に関するドキュメントを確認してください。詳細については、「RAM 承認」をご参照ください。
現在の Alibaba Cloud アカウントに ACK が依存するサービスロールが割り当てられていないことを示すエラーコードは何ですか?
ACK コンソールまたは OpenAPI Explorer プラットフォームで ACK を使用するときに次のエラーコードが表示された場合、現在の Alibaba Cloud アカウントには ACK が依存するサービスロールが割り当てられていません。 AdministratorAccess ポリシーがアタッチされている Alibaba Cloud アカウントまたは RAM ユーザーを使用して ACK コンソールまたは OpenAPI Explorer プラットフォームにログインし、エラーメッセージ内のハイパーリンクをクリックする必要があります。 表示されたページで、Alibaba Cloud アカウントまたは RAM ユーザーにロールを割り当てます。
エラーコード | エラーメッセージの例 |
ErrManagedKuberneteRoleNotAttach | https://*** でクラスターアドオンのサービス ramrole 権限付与を完了してください |
ErrKubernetesAuditRoleNotAttach | https://*** でクラスターアドオンのサービス ramrole 権限付与を完了してください |
ErrManagedAddonRoleNotAttach | https://*** でクラスターアドオンのサービス ramrole 権限付与を完了してください |
ErrManagedSecurityRoleNotAttach | https://*** でセキュリティ ramrole 権限付与を完了してください |
ErrEdgeAddonRoleNotAttach | https://*** でエッジクラスターアドオンのサービス ramrole 権限付与を完了してください |
ErrAutoScalerRoleNotAttach | https://*** でクラスターアドオンのサービス ramrole 権限付与を完了してください |
ErrAcrHelperRoleNotAttach | https://*** でクラスターアドオンのサービス ramrole 権限付与を完了してください |
ErrCostExporterRoleNotAttach | https://*** でクラスターアドオンのサービス ramrole 権限付与を完了してください |
MissingAuth.AliyuncsManagedSecurityRole | https://*** でセキュリティ ramrole 権限付与を完了してください |
ACK のシステムロールを割り当てるページに移動するにはどうすればよいですか?
ACK に割り当てられているシステムロールを取り消した場合、システムロールを ACK に再度割り当てる必要があります。詳細については、「ACK マネージドクラスターをすばやく作成する」をご参照ください。
Alibaba Cloud アカウントを使用して、システムロールを ACK に再度割り当てる必要があります。
ECS インスタンスから RAM ロールが取り消された場合はどうすればよいですか?
Elastic Compute Service (ECS) インスタンス上で実行されているアプリケーションが metadata api 100 にリクエストを送信すると、[404] エラー、または [Message:Node Condition RAMRoleError Is Now: True, Reason: NodeHasNoRAMRole] エラーメッセージが返されます。以下の方法で ECS インスタンスに RAM ロールを再割り当てできます。
ECS インスタンスから RAM ロールが取り消された場合は、ECS インスタンスに RAM ロールを再度割り当てる必要があります。詳細については、「インスタンス RAM ロールのデタッチまたは変更」をご参照ください。
クラスタのマスターノードとして機能する ECS インスタンスの場合 (ACK 専用クラスターにのみ適用可能): [クラスタ情報] ページの [基本情報] タブで、[Master RAM ロール] を ECS インスタンスに割り当てます。
クラスタのワーカーノードとして機能する ECS インスタンスの場合: [クラスタ情報] ページの [基本情報] タブで、[Worker RAM ロール] を ECS インスタンスに割り当てます。
RAM ロールにアタッチされているポリシーの内容を変更した場合は、変更された内容に必要な権限が含まれているかどうかを確認します。
エラーが発生する前に RAM ロールにアタッチされているポリシーの内容を変更した場合は、ポリシーを元のバージョンにロールバックしてみてください。
カスタム RAM ロールを ACK クラスタに割り当てるにはどうすればよいですか?
カスタム ワーカー RAM ロールを使用して、Kubernetes クラスターにカスタム RAM ロールを割り当てることができます。詳細については、「カスタム ワーカー RAM ロールの使用」をご参照ください。
担当スタッフが退職したため RAM ユーザーを削除した後、オンライン ワークロードは影響を受けますか?
RAM ユーザーを削除した後、他の RAM ユーザーを使用してクラスターを通常どおり管理できます。ただし、Alibaba Cloud アカウントを使用して、削除した RAM ユーザーに発行された kubeconfig ファイルを取り消す必要があります。詳細については、「クラスターの kubeconfig ファイルを取り消す」をご参照ください。
削除した RAM ユーザーに発行された kubeconfig ファイルを取り消す前に、アプリケーションに保存されている kubeconfig ファイルを新しい kubeconfig ファイルに置き換える必要があります。