すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:RAMユーザーまたはRAMロールにRBAC権限を付与する方法

    ドキュメントセンター

    Container Service for Kubernetes:RAMユーザーまたはRAMロールにRBAC権限を付与する方法

    最終更新日:Jan 24, 2025

    Resource Access Management (RAM) システム権限ポリシーは、インスタンスを作成または表示する権限など、Kubernetes (ACK One) リソース用のDistributed Cloud Container Platformに対する権限のみを制御できます。 RAMユーザーまたはRAMロールが指定されたACK OneフリートインスタンスのKubernetesリソースを管理する場合 (GitOpsアプリケーションやArgoワークフローの作成など) 、RAMユーザーまたはRAMロールに、ACK Oneフリートインスタンスとその名前空間に対するRBAC (role-Based Access Control) 権限を付与する必要があります。 このトピックでは、RAMユーザーまたはRAMロールにRBAC権限を付与する方法について説明します。

    使用上の注意

    RAMユーザーまたはRAMロールに権限を付与するには、Alibaba Cloudアカウント、Fleetインスタンス作成者のアカウント、またはFleetインスタンスに対する管理者権限を持つRAMユーザーを使用する必要があります。 別のRAMユーザーを使用してRAMユーザーまたはRAMロールに権限を付与することはできません。

    前提条件

    ACK OneでサポートされているRBAC権限

    フリートインスタンスに対するRBAC権限

    RBACロール

    権限

    admin (管理者)

    すべての名前空間のクラスター全体のリソースとリソースに対する読み取りおよび書き込み権限を提供します。

    dev (開発者)

    指定された名前空間のリソースに対する読み取りおよび書き込み権限を提供します。

    gitops-dev (GitOps開発者)

    argocd名前空間のアプリケーションリソースに対する読み取りおよび書き込み権限を提供します。

    クラスターと名前空間リソースの表示

    • フリートインスタンススコープのリソース

      種類

      apiVersion

      名前空間

      v1

      管理クラスター

      cluster.open-cluster-management.io

      MseIngressConfig

      mse.alibabacloud.com/v1alpha1

      IngressClass

      networking.k8s.io/v1

    • Namespace-scopedリソース

      種類

      apiVersion

      Deployment

      アプリ /v1

      サービス

      v1

      Ingress

      networking.k8s.io/v1

      ConfigMap

      v1

      シークレット

      v1

      StatefulSet

      アプリ /v1

      PersistentVolumeClaim

      v1

      ServiceExport

      マルチクラスター. x-k8s.io/v1alpha 1

      ServiceImport

      マルチクラスター. x-k8s.io/v1alpha 1

      HorizontalPodAutoscaler

      自動スケーリング /v1

      アプリケーション

      アプリケーションセット

      Appproject

      argoproj.io

      ワークフロー

      argoproj.io

      アプリケーション

      core.oam.dev

    • argocd名前空間のアプリケーションリソース

      種類

      apiVersion

      アプリケーション

      argoproj.io

    ワークフロークラスターに対するRBAC権限

    RBACロール

    権限

    admin (管理者)

    すべての名前空間のクラスター全体のリソースとリソースに対する読み取りおよび書き込み権限を提供します。

    dev (開発者)

    指定された名前空間のリソースに対する読み取りおよび書き込み権限を提供します。

    クラスターと名前空間リソースの表示

    • フリートインスタンススコープのリソース

      種類

      apiVersion

      名前空間

      v1

      PersistentVolumes

      v1

      ImageCaches

      eci.alibabacloud.com

    • Namespace-scopedリソース

      種類

      apiVersion

      ConfigMap

      v1

      シークレット

      v1

      ServiceAccount

      v1

      PersistentVolumeClaim

      v1

      ポッド

      v1

      ワークフロー

      WorkflowTemplate

      CronWorkflow

      argoproj.io

      EventSource

      EventBus

      センサー

      argoproj.io

    登録済みクラスターに対するRBAC権限

    詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。

    Fleetインスタンスに対するRAMユーザーまたはRAMロールRBAC権限の付与

    コンソールの使用

    1. にログインします。ACK Oneコンソール.

    2. 左側のナビゲーションウィンドウで、[フリート] > [権限] を選択します。

    3. [権限] ページで、[フリート] タブをクリックし、[RAMユーザー] タブをクリックします。

    4. リストで権限付与するRAMユーザーを見つけ、[操作] 列の [権限の管理] をクリックします。

    5. 表示されるダイアログボックスで、RAMロール名前空間を指定し、[OK] をクリックします。

    Alibaba Cloud CLIの使用

    フリートインスタンスに対する管理者権限の付与

    aliyun adcp GrantUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ****** -- RoleType cluster -- RoleName admin

    Fleetインスタンスの名前空間に対するdev権限の付与

    aliyun adcp GrantUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ***** -- RoleType名前空間 -- 名前空間default -- RoleName dev

    argocd名前空間に対するgitops-dev権限の付与

    aliyun adcp GrantUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ****** -- RoleType名前空間 -- namespace argocd -- RoleName gitops-dev

    View parameter description

    パラメーター

    タイプ

    必須

    説明

    UserId

    String

    必須

    RAMユーザーのID。

    ClusterId

    String

    必須

    RAMユーザーに管理を許可するフリートインスタンスのID。

    RoleType

    String

    必須

    承認タイプ。 有効な値:

    • cluster: 権限はフリートインスタンスにスコープされます。

    • namespace: 権限は名前空間にスコープされます。

      説明

      • 管理者権限を付与するには、RoleTypeパラメーターをclusterに設定する必要があります。

      • devまたはgitops-dev権限を付与するには、RoleTypeパラメーターをnamespaceに設定する必要があります。

    RoleName

    String

    必須

    定義済みのロール名。 有効な値:

    • admin: 管理者

    • dev: 開発者

    • gitops-dev: GitOps開発者

    名前空間

    String

    選択可能

    名前空間の名前。

    説明

    • RoleTypeパラメーターがnamespaceに設定されている場合は、このパラメーターを設定する必要があります。

    • RoleTypeパラメーターがnamespaceに設定され、RoleNameパラメーターがgitops-devに設定されている場合は、このパラメーターをargocdに設定する必要があります。

    • RoleTypeパラメーターがclusterに設定されている場合、このパラメーターは空のままにします。

    ワークフロークラスターに対するRAMユーザーまたはRAMロールのRBAC権限の付与

    Alibaba Cloud CLIの使用

    ワークフロークラスターに対する管理者権限の付与

    aliyun adcp GrantUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ****** -- RoleType cluster -- RoleName admin

    ワークフロークラスターの名前空間に対するdev権限の付与

    aliyun adcp GrantUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ***** -- RoleType名前空間 -- 名前空間default -- RoleName dev

    View parameter description

    パラメーター

    タイプ

    必須

    説明

    UserId

    String

    必須

    RAMユーザーのID。

    ClusterId

    String

    必須

    RAMユーザーにアクセスを許可するワークフロークラスターのID。

    RoleType

    String

    必須

    承認タイプ。 有効な値:

    • cluster: 権限はクラスターにスコープされます。

    • namespace: 権限は名前空間にスコープされます。

    説明

    • 管理者ロールを割り当てるときは、パラメーターをclusterに設定する必要があります。

    • devロールを割り当てるときは、パラメーターをnamespaceに設定する必要があります。

    RoleName

    String

    必須

    定義済みのロール名。 有効な値:

    • admin: 管理者

    • dev: 開発者

    名前空間

    String

    選択可能

    名前空間の名前。

      説明

      RoleTypeパラメーターがnamespaceに設定されている場合は、このパラメーターを設定する必要があります。

      RoleTypeパラメーターがclusterに設定されている場合、このパラメーターは空のままにします。

    次のステップ

    RAMユーザーのRBAC権限の変更

    aliyun adcp UpdateUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ****** -- RoleType cluster -- RoleName dev

    RAMユーザーのRBAC権限の照会

    aliyun adcp DescribeUserPermissions -- UserId 1159648454 ******

    RAMユーザーからRBAC権限を取り消す

    aliyun adcp DeleteUserPermission -- UserId 1159648454 ****** -- ClusterId c6c6caf48c192f7476 ******