すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:RAM ユーザーまたは RAM ロールへの RBAC 権限の付与

    ドキュメントセンター

    Container Service for Kubernetes:RAM ユーザーまたは RAM ロールへの RBAC 権限の付与

    最終更新日:Mar 27, 2026

    RAM システムポリシーは、インスタンスの作成やインスタンスリストの表示など、ACK One クラスターリソースに対する操作の権限のみを制御します。GitOps アプリケーションや Argo Workflows の作成など、クラスター内の Kubernetes リソースを管理するには、RAM ユーザーまたは RAM ロールに、そのクラスターと名前空間に対するロールベースのアクセス制御 (RBAC) 権限も必要です。このトピックでは、これらの権限を付与する方法について説明します。

    注意事項

    Alibaba Cloud アカウント (root ユーザー)、クラスターの作成者、またはクラスター管理者権限を持つ RAM ユーザーのみが、指定された RAM ユーザーまたは RAM ロールに権限を付与できます。通常の RAM ユーザーは権限を付与できません。

    前提条件

    ACK One でサポートされる RBAC 権限

    フリートの RBAC 権限

    RBAC ロール

    説明

    admin (管理者)

    すべてのクラスター範囲のリソースと、すべての名前空間内のリソースに対する読み取りおよび書き込み権限を付与します。

    dev (開発者)

    選択した名前空間内のリソースに対する読み取りおよび書き込み権限を付与します。

    gitops-dev (GitOps 開発者)

    argocd 名前空間内のアプリケーションリソースに対する読み取りおよび書き込み権限を付与します。

    クラスター範囲および名前空間範囲のリソース

    • クラスター範囲のリソース

      Kind

      apiVersion

      Namespace

      v1

      Managedcluster

      cluster.open-cluster-management.io

      MseIngressConfig

      mse.alibabacloud.com/v1alpha1

      IngressClass

      networking.k8s.io/v1

    • 名前空間範囲のリソース

      Kind

      apiVersion

      Deployment

      apps/v1

      Service

      v1

      Ingress

      networking.k8s.io/v1

      ConfigMap

      v1

      Secret

      v1

      StatefulSet

      apps/v1

      PersistentVolumeClaim

      v1

      ServiceExport

      multicluster.x-k8s.io/v1alpha1

      ServiceImport

      multicluster.x-k8s.io/v1alpha1

      HorizontalPodAutoscaler

      autoscaling/v1

      Application

      ApplicationSet

      Appproject

      argoproj.io

      Workflow

      argoproj.io

      Application

      core.oam.dev

    • argocd 名前空間内のアプリケーションリソース

      Kind

      apiVersion

      Application

      argoproj.io

    ワークフロークラスターの RBAC 権限

    RBAC ロール

    説明

    admin (管理者)

    すべてのクラスター範囲のリソースと、すべての名前空間内のリソースに対する読み取りおよび書き込み権限を付与します。

    dev (開発者)

    選択した名前空間内のリソースに対する読み取りおよび書き込み権限を付与します。

    クラスター範囲および名前空間範囲のリソース

    • クラスター範囲のリソース

      Kind

      apiVersion

      Namespace

      v1

      PersistentVolumes

      v1

      ImageCaches

      eci.alibabacloud.com

    • 名前空間範囲のリソース

      Kind

      apiVersion

      ConfigMap

      v1

      Secret

      v1

      ServiceAccount

      v1

      PersistentVolumeClaim

      v1

      Pod

      v1

      Workflow

      WorkflowTemplate

      CronWorkflow

      argoproj.io

      EventSource

      EventBus

      Sensor

      argoproj.io

    登録済みクラスターの RBAC 権限

    詳細については、「登録済みクラスターの事前定義 RBAC ロール」をご参照ください。

    フリートへの RBAC 権限の付与

    コンソールの使用

    1. ACK One コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、フリート > 権限管理 を選択します。

    3. 権限管理 ページで、フリート タブをクリックし、次に RAM ユーザー タブをクリックします。

    4. 権限を付与する RAM ユーザーを見つけ、操作 列の 権限付与の管理 をクリックします。

    5. 表示されるダイアログボックスで、目的の 権限付与のロール名前空間 を選択し、OK をクリックします。

    CLI の使用

    管理者ロールの付与

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName admin

    dev ロールの付与

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace default --RoleName dev

    gitops-dev ロールの付与

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace argocd --RoleName gitops-dev

    パラメーター

    パラメーター

    タイプ

    必須

    説明

    UserId

    string

    はい

    RAM ユーザーの ID。

    ClusterId

    string

    はい

    ターゲットのフリートインスタンスの ID。

    RoleType

    string

    はい

    権限付与タイプ。有効な値:

    • cluster:権限はフリートインスタンスの範囲に限定されます。

    • namespace:権限は名前空間の範囲に限定されます。

      説明

      • admin 権限の権限付与タイプは、フリートインスタンスの範囲である cluster である必要があり、名前空間の範囲にすることはできません。

      • dev および gitops-dev 権限の権限付与タイプは、フリートインスタンスの範囲ではなく、namespace の範囲である必要があります。

    RoleName

    string

    はい

    事前定義されたロール名。有効な値:

    • admin:管理者。

    • dev:開発者。

    • gitops-dev:GitOps 開発者。

    Namespace

    string

    いいえ

    名前空間の名前。

    説明

    • RoleTypenamespace に設定されている場合、このパラメーターは必須です。

    • 権限付与のディメンションが名前空間で、ロールタイプが GitOps 開発者の場合、名前空間名は argocd に設定する必要があります。

    • RoleTypecluster に設定されている場合、このパラメーターは必須ではありません。

    ワークフロークラスターへの RBAC 権限の付与

    CLI の使用

    管理者ロールを付与する

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName admin

    dev ロールの付与

    aliyun adcp GrantUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType namespace --Namespace default --RoleName dev

    パラメーター

    パラメーター

    タイプ

    必須

    説明

    UserId

    string

    はい

    RAM ユーザーの ID。

    ClusterId

    string

    はい

    ターゲットのワークフロークラスターの ID。

    RoleType

    string

    はい

    権限付与タイプ。有効な値:

    • cluster:権限はクラスターの範囲に限定されます。

    • namespace:権限は名前空間の範囲に限定されます。

    説明

    • admin ロールを付与するには、このパラメーターを cluster に設定する必要があります。

    • dev 権限の権限付与タイプは、クラスターレベルの範囲ではなく、名前空間レベルの範囲である namespace である必要があります。

    RoleName

    string

    はい

    事前定義されたロール名。有効な値:

    • admin:管理者。

    • dev:開発者。

    Namespace

    string

    いいえ

    名前空間の名前。

      説明

      このパラメーターは、RoleTypenamespace に設定されている場合に必須です。

      このパラメーターは、RoleTypecluster に設定されている場合は必須ではありません。

    関連操作

    RBAC 権限の更新

    aliyun adcp UpdateUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476****** --RoleType cluster --RoleName dev

    RBAC 権限のクエリ

    aliyun adcp DescribeUserPermissions --UserId 1159648454******

    RBAC 権限の取り消し

    aliyun adcp DeleteUserPermission --UserId 1159648454****** --ClusterId c6caf48c192f7476******