すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:kubeconfig ファイルの取り消し

    ドキュメントセンター

    Container Service for Kubernetes:kubeconfig ファイルの取り消し

    最終更新日:Mar 26, 2026

    マルチテナント環境では、Container Service for Kubernetes (ACK) が、異なる役割を持つユーザーに対して ID 情報を含む kubeconfig ファイルに署名し、発行します。従業員が退職した場合や kubeconfig ファイルが公開された場合には、不正なクラスターへのアクセスを防止するため、そのファイルを取り消してください。

    重要

    RAM ユーザーまたは RAM ロールを削除しても、その kubeconfig ファイルに設定された RBAC 権限は**自動的に取り消されません**。RAM ユーザーを削除する前に、必ず kubeconfig ファイルを取り消してください。

    前提条件

    開始する前に、以下の条件を満たしていることを確認してください。

    • 以下の日付以降に作成された ACK クラスター:

      • ACK マネージドクラスターまたは ACK 専用クラスター:2019 年 10 月 15 日

      • ACK Serverless クラスター:2019 年 9 月 6 日

    • Alibaba Cloud アカウントまたは RAM ユーザーを使用して ACK コンソール にアクセスできること

    誰が何を取り消せるか

    アクター取り消せる対象
    Alibaba Cloud アカウントアカウントが管理するすべての RAM ユーザーおよび RAM ロールの kubeconfig ファイル
    RAM ユーザー当該 RAM ユーザー自身の kubeconfig ファイル

    kubeconfig ファイルを取り消すと、ACK はクラスターに新しい kubeconfig ファイルを自動的に割り当てます。

    Alibaba Cloud アカウントとして kubeconfig ファイルを取り消す

    このプロシージャは、Alibaba Cloud アカウントが管理する RAM ユーザーおよび RAM ロールの kubeconfig ファイルを取り消す場合(例:従業員の退職時)に使用します。

    重要

    Alibaba Cloud アカウントは、自らが管理する RAM ユーザーまたは RAM ロールの kubeconfig ファイルのみを取り消すことができます。

    1. ACK コンソール にログインします。左側のナビゲーションウィンドウで、権限付与 をクリックします。

    2. RAM ユーザー タブで、対象の RAM ユーザーを見つけ、KubeConfig 管理 をクリックして、その RAM ユーザーが作成したクラスターを表示します。

    3. 操作 列で、KubeConfig ファイルの削除 をクリックし、画面の指示に従って取り消しを完了します。

    RAM ユーザーとして自身の kubeconfig ファイルを取り消す

    このプロシージャは、kubeconfig ファイルが不要になった場合や公開された場合に、自身の kubeconfig ファイルを取り消すために使用します。

    重要

    kubeconfig ファイルを取り消すと、そのファイルを使用して対応するクラスターにアクセスできなくなります。

    1. ACK コンソール にログインします。左側のナビゲーションウィンドウで、クラスター をクリックします。

    2. クラスター ページで、対象のクラスター名をクリックします。左側のナビゲーションウィンドウで、クラスター情報 をクリックします。

    3. [接続情報] タブで、[KubeConfig の失効] をクリックし、次に [OK] をクリックします。

    完全に削除された RAM ユーザーの kubeconfig を取り消す

    RAM ユーザーの kubeconfig ファイルが取り消される前にそのユーザーが削除された場合、ACK は関連するロールベースのアクセス制御 (RBAC) バインディングを自動的にクリーンアップできません。以下に示す手順は、RAM ユーザーがゴミ箱内に存在するかどうかに応じて実行してください。

    重要

    取り消しを実行する前に、クラスター内のアプリケーションがその kubeconfig ファイルの権限に依存していないことを確認してください。

    RAM ユーザーがゴミ箱内にある場合

    1. ゴミ箱から RAM ユーザーの基本情報を復元します。AccessKey ペアを復元する必要はありません。詳細については、「ゴミ箱から RAM ユーザーを復元する」をご参照ください。

    2. Alibaba Cloud アカウントとして、その RAM ユーザーが作成したすべてのクラスターの kubeconfig ファイルを取り消します。詳細については、「Alibaba Cloud アカウントとして kubeconfig ファイルを取り消す」をご参照ください。

    3. RAM ユーザーを再びゴミ箱に戻します。詳細については、「RAM ユーザーをゴミ箱に移動する」をご参照ください。

    RAM ユーザーが完全に削除された場合

    削除された RAM ユーザーまたは RAM ロールに関連付けられた RBAC バインディングを手動で削除します。

    ACK の権限付与モジュールでは、バインディングの名前付けに RAM ユーザーまたはロールの ID を使用します。

    バインディングの種類命名規則
    ClusterRoleBindingxxxxxxx-clusterrolebinding
    RoleBindingxxxxxxx-yyyyy-rolebinding

    ID のプレフィックスはプリンシパルの種類を示します:2 = RAM ユーザー、3 = RAM ロールです。

    ステップ 1:ClusterRoleBinding の一覧表示

    クラスター管理者として、次のコマンドを実行します。

    kubectl get clusterrolebinding

    削除されたユーザーまたはロールの ID で始まるバインディングを特定します。

    ステップ 2:RoleBinding の一覧表示

    kubectl get rolebinding -A | grep 'cs:ns:'

    削除されたユーザーまたはロールの ID で始まるバインディングを特定します。

    ステップ 3:RAM ユーザーまたはロールの存在確認

    • 2 で始まるプレフィックスのバインディング(RAM ユーザー)の場合: RAM コンソール にアクセスし、ユーザー ページを開き、RAM ユーザー ID で検索します。ユーザーが見つからない場合は、そのバインディングを削除します。

    • 3 で始まるプレフィックスのバインディング(RAM ロール)の場合: ListRoles API を呼び出し、応答に RAM ロール ID が含まれているかどうかを確認します。含まれていない場合は、そのバインディングを削除します。

    ステップ 4:孤立したバインディングの削除

    kubectl delete clusterrolebinding xxxxxxx-clusterrolebinding
kubectl delete rolebinding xxxxxxx-yyyyy-rolebinding -n zzzz

    xxxxxxx を RAM ユーザーまたはロール ID、yyyyy をバインディング識別子、zzzz を RoleBinding の名前空間に置き換えてください。