Alibaba Cloudサービスは、特定の機能を実装するために他のAlibaba Cloudサービスにアクセスする必要があります。 この場合、Alibaba Cloudサービスは、他のAlibaba Cloudサービスにアクセスするためにサービスにリンクされたロールを引き受ける必要があります。 サービスにリンクされたロールは、RAM (Resource Access Management) ロールです。 Distributed Cloud Container Platform for Kubernetes (ACK One) が提供するすべての機能を使用するには、必要なサービスにリンクされたロールをACK Oneに割り当てる必要があります。 このトピックでは、ACK Oneのサービスにリンクされたロールを紹介し、ロールの権限について説明します。
サービスにリンクされたロールを割り当てる方法
ACK Oneを初めて使用する場合は、Alibaba CloudアカウントまたはRAMアカウント管理者で認証を完了する必要があります。
サービスにリンクされたロールを手動で作成する必要はありません。 ACK Oneコンソールを初めて使用するときに、コンソールは最初に承認を完了するように求めます。 承認を完了するには、画面上の指示に従う必要があります。
Alibaba CloudアカウントとRAMアカウント管理者のみがロール権限付与を完了できます。 通常のRAMユーザーはこの操作を実行できません。 システムが権限を持っていないことを求めるメッセージが表示された場合は、Alibaba CloudアカウントまたはRAMアカウント管理者を使用します。
ACK Oneのサービスにリンクされたロール
ロール名 | 権限 |
AliyunCSDefaultRole |
|
AliyunServiceRoleForAdcp |
|
AliyunAdcpServerlessKubernetesロール |
|
AliyunAdcpManagedMseRole |
|
サービスにリンクされたロールの権限
AliyunServiceRoleForAdcp
ECS に関係する権限
ecs:CreateSecurityGroup
ecs:CreateSecurityGroupPermissions
ecs:DeleteSecurityGroup
ecs:DescribeAccountAttributes
ecs:DescribeSecurityGroups
ecs:AuthorizeSecurityGroup
ecs:RevokeSecurityGroup
ecs:AuthorizeSecurityGroupEgress
ecs:RevokeSecurityGroupEgress
ecs:DescribeNetworkInterfaces
ecs:DescribeZones
VPC関連の権限
vpc:DescribeVpcAttribute
vpc:DescribeVSwitchAttributes
vpc:AllocateEipAddress
vpc:AssociateEipAddress
vpc:UnassociateEipAddress
vpc:ReleaseEipAddress
vpc:DescribeEipAddresses
vpc:TagResources
vpc:DeletionProtection
vpc:DescribeRouteTableList
vpc:CreateRouteEntry
vpc:DeleteeRouteEntry
vpc:AcceptVpcPeerConnection
vpc:GetVpcPeerConnectionAttribute
vpc:DescribeVSwitches
vpc:DescribeVpcs
CEN関連の権限
cen:DescribeCenAttachedChildInstances
cen:DescribeCens
SLB に関係する権限
slb:DescribeLoadBalancerAttribute
slb:CreateLoadBalancer
slb:DeleteLoadBalancer
slb:StartLoadBalancerListener
slb:StopLoadBalancerListener
slb:CreateLoadBalancerTCPListener
slb:CreateLoadBalancerHTTPListener
slb:DeleteLoadBalancerListener
slb:AddTags
slb:RemoveTags
slb:SetLoadBalancerDeleteProtection
slb:SetLoadBalancerModificationProtection
slb:DescribeZones
slb:CreateAccessControlList
slb:DescribeAccessControlLists
slb:AddAccessControlListEntry
slb:RemoveAccessControlListEntry
slb:SetLoadBalancerTCPListenerAttribute
ASM関連の権限
servicemesh:CreateServiceMesh
servicemesh:DeleteServiceMesh
servicemesh:DescribeServiceMeshDetail
servicemesh:DescribeServiceMeshes
servicemesh:DescribeServiceMeshKubeconfig
servicemesh:DescribeServiceMeshLogs
servicemesh:ModifyServiceMesh
servicemesh:ModifyServiceMeshName
servicemesh:DescribeClustersInServiceMesh
servicemesh:AddClusterIntoServiceMesh
servicemesh:RemoveClusterFromServiceMesh
servicemesh:UpdateMeshFeature
servicemesh:DescribeRegions
servicemesh:DescribeServiceMeshUpgradeStatus
servicemesh:DescribeVersions
servicemesh:RevokeKubeconfig
servicemesh:UpdateServiceMeshOwner
RAM関連の権限
ram:CreateApplication
ram:ListApplications
ram:ListAppSecretIds
ram:GetApplication
ram:UpdateApplication
ram:CreateAppSecret
ram:GetAppSecret
ram:DeleteApplication
ram:DeleteAppSecret
ram:CreateApplication
ram:ListApplications
ram:ListAppSecretIds
ram:CreateServiceLinkedRole
ARMS関連の権限
腕: InstallManagedPrometheus
腕: UninstallManagedPrometheus
AliyunAdcpServerlessKubernetesロール
VPC関連の権限
vpc:DescribeVSwitches
vpc:DescribeVpcs
vpc:AssociateEipAddress
vpc:DescribeEipAddresses
vpc:AllocateEipAddress
vpc:ReleaseEipAddress
vpc:AddCommonBandwidthPackageIp
vpc:RemoveCommonBandwidthPackageIp
ECS関連の権限
ecs:DescribeSecurityGroups
ecs:CreateNetworkInterface
ecs:CreateNetworkInterfacePermission
ecs:DescribeNetworkInterfaces
ecs:AttachNetworkInterface
ecs:DetachNetworkInterface
ecs:DeleteNetworkInterface
ecs:DeleteNetworkInterfacePermission
ARMS関連の権限
腕: GetManagedPrometheusStatus
腕: InstallManagedPrometheus
腕: UninstallManagedPrometheus
Alibaba Cloud DNS PrivateZone関連の権限
pvtz:AddZone
pvtz:DeleteZone
pvtz:DescribeZones
pvtz:DescribeZoneInfo
pvtz:BindZoneVpc
pvtz:AddZoneRecord
pvtz:DeleteZoneRecord
pvtz:DeleteZoneRecordsByRR
pvtz:DescribeZoneRecordsByRR
pvtz:DescribeZoneRecords
Elastic Containerインスタンス関連の権限
eci:CreateContainerGroup
eci:DeleteContainerGroup
eci:DescribeContainerGroups
eci:DescribeContainerGroupStatus
eci:DescribeContainerGroupEvents
eci:DescribeContainerLog
eci:UpdateContainerGroup
eci:UpdateContainerGroupByTemplate
eci:CreateContainerGroupFromTemplate
eci:RestartContainerGroup
eci:ExportContainerGroupTemplate
eci:DescribeContainerGroupMetric
eci:DescribeMultiContainerGroupMetric
eci:ResizeContainerGroupVolume
eci:ExecContainerCommand
eci:CreateImageCache
eci:DescribeImageCaches
eci:DeleteImageCache
シンプルなLog Service関連の権限
ログ: CreateProject
ログ: GetProject
ログ: DeleteProject
log:CreateLogStore
ログ: GetLogStore
log:UpdateLogStore
log:DeleteLogStore
ログ: CreateConfig
log:UpdateConfig
log:GetConfig
log:DeleteConfig
log:CreateMachineGroup
log:UpdateMachineGroup
log:GetMachineGroup
log:DeleteMachineGroup
log:ApplyConfigToGroup
log:GetAppliedMachineGroups
log:GetAppliedConfigs
ログ: RemoveConfigFromMachineGroup
ログ: CreateIndex
ログ: GetIndex
ログ: UpdateIndex
ログ: DeleteIndex
ログ: CreateSavedSearch
ログ: GetSavedSearch
ログ: UpdateSavedSearch
ログ: DeleteSavedSearch
ログ: CreateDashboard
ログ: GetDashboard
ログ: UpdateDashboard
ログ: DeleteDashboard
ログ: CreateJob
ログ: GetJob
ログ: DeleteJob
ログ: PostLogStoreLogs
ログ: UpdateJob
RAM関連の権限
ram:CreateServiceLinkedRole
AliyunAdcpManagedMseRole
MSE関連の権限
mse:AddBlackWhiteList
mse:AddGateway
mse:AddServiceSource
mse:CreateApplication
mse:DeleteGateway
mse:DeleteServiceSource
mse:GetBlackWhiteList
mse:GetGateway
mse:GetGatewayDetail
mse:GetGatewayOption
mse:ListServiceSource
mse:ListTagResources
mse:ModifyLosslessRule
mse:TagResources
mse:UntagResources
mse:UpdateBlackWhiteList
mse:UpdateGatewayOption
mse:UpdateServiceSource
シンプルなLog Service関連の権限
ログ: CloseProductDataCollection
ログ: OpenProductDataCollection
ログ: GetProductDataCollection
RAM関連の権限
ram:CreateServiceLinkedRole
AliyunCSManagedKubernetesロール
ECS関連の権限
ecs:Describe*
ecs:CreateRouteEntry
ecs:DeleteRouteEntry
ecs:CreateNetworkInterface
ecs:DeleteNetworkInterface
ecs:CreateNetworkInterfacePermission
ecs:DeleteNetworkInterfacePermission
ecs:ModifyInstanceAttribute
ecs:AttachKeyPair
ecs:StopInstance
ecs:StartInstance
ecs:ReplaceSystemDisk
SLB関連の権限
slb:Describe*
slb:CreateLoadBalancer
slb:DeleteLoadBalancer
slb:ModifyLoadBalancerInternetSpec
slb:RemoveBackendServers
slb:AddBackendServers
slb:RemoveTags
slb:AddTags
slb:TagResources
slb:UnTagResources
slb:ListTagResources
slb:StopLoadBalancerListener
slb:StartLoadBalancerListener
slb:SetLoadBalancerHTTPListenerAttribute
slb:SetLoadBalancerHTTPSListenerAttribute
slb:SetLoadBalancerTCPListenerAttribute
slb:SetLoadBalancerUDPListenerAttribute
slb:CreateLoadBalancerHTTPSListener
slb:CreateLoadBalancerHTTPListener
slb:CreateLoadBalancerTCPListener
slb:CreateLoadBalancerUDPListener
slb:DeleteLoadBalancerListener
slb:CreateVServerGroup
slb:DescribeVServerGroups
slb:DeleteVServerGroup
slb:SetVServerGroupAttribute
slb:DescribeVServerGroupAttribute
slb:ModifyVServerGroupBackendServers
slb:AddVServerGroupBackendServers
slb:ModifyLoadBalancerInstanceSpec
slb:ModifyLoadBalancerInternetSpec
slb:SetLoadBalancerModificationProtection
slb:SetLoadBalancerDeleteProtection
slb:SetLoadBalancerName
slb:ModifyLoadBalancerInstanceChargeType
slb:RemoveVServerGroupBackendServers
VPC関連の権限
vpc:Describe*
vpc:DeleteRouteEntry
vpc:CreateRouteEntry
シンプルなLog Service関連の権限
ログ: CreateProject
ログ: GetProject
ログ: GetProductDataCollection
ログ: OpenProductDataCollection
ログ: CloseProductDataCollection
ログ: GetLogStoreHistogram
ログ: AnalyzeProductLog
ログ: CreateIndex
ログ: UpdateIndex
ログ: DeleteIndex
log:CreateLogStore
log:UpdateLogStore
log:DeleteLogStore
ログ: CreateDashboard
ログ: UpdateDashboard
ログ: DeleteDashboard
ログ: SetGeneralDataAccessConfig
ALB関連の権限
alb:EnableLoadBalancerIpv6Internet
alb:DisableLoadBalancerIpv6Internet
alb:CreateAcl
alb:DeleteAcl
alb:ListAcls
alb:ListAclRelations
alb:AddEntriesToAcl
alb:AssociateAclsWithListener
alb:ListAclEntries
alb:RemoveEntriesFromAcl
alb:DissociateAclsFromListener
alb:TagResources
alb:UnTagResources
alb:ListServerGroups
alb:ListServerGroupServers
alb:AddServersToServerGroup
alb:RemoveServersFromServerGroup
alb:ReplaceServersInServerGroup
alb:CreateLoadBalancer
alb:DeleteLoadBalancer
alb:UpdateLoadBalancerAttribute
alb:UpdateLoadBalancerEdition
alb:EnableLoadBalancerAccessLog
alb:DisableLoadBalancerAccessLog
alb:EnableDeletionProtection
alb:DisableDeletionProtection
alb:ListLoadBalancers
alb:GetLoadBalancerAttribute
alb: リスナー
alb:CreateListener
alb:GetListenerAttribute
alb:UpdateListenerAttribute
alb:ListListenerCertificates
alb:AssociateAdditionalCertificatesWithListener
alb:DissociateAdditionalCertificatesFromListener
alb:DeleteListener
alb:CreateRule
alb:DeleteRule
alb:UpdateRuleAttribute
alb:CreateRules
alb:UpdateRulesAttribute
alb:DeleteRules
alb:ListRules
alb:UpdateListenerLogConfig
alb:CreateServerGroup
alb:DeleteServerGroup
alb:UpdateServerGroupAttribute
alb:UpdateLoadBalancerAddressTypeConfig
alb:AttachCommonBandwidthPackageToLoadBalancer
alb:DetachCommonBandwidthPackageFromLoadBalancer
alb:UpdateServerGroupServersAttribute
alb:MoveResourceGroup
alb:ListAScripts
alb:CreateAScripts
alb:UpdateAScripts
alb:DeleteAScripts
alb:LoadBalancerJoinSecurityGroup
alb:LoadBalancerLeaveSecurityGroup
alb:DescribeZones
NLB関連の権限
nlb:TagResources
nlb:UnTagResources
nlb:ListTagResources
nlb:CreateLoadBalancer
nlb:DeleteLoadBalancer
nlb:GetLoadBalancerAttribute
nlb:ListLoadBalancers
nlb:UpdateLoadBalancerAttribute
nlb:UpdateLoadBalancerAddressTypeConfig
nlb: アップデートLoadBalancerZones
nlb:CreateListener
nlb:DeleteListener
nlb: リスナー
nlb:UpdateListenerAttribute
nlb:StopListener
nlb:StartListener
nlb:GetListenerAttribute
nlb:GetListenerHealthStatus
nlb:CreateServerGroup
nlb:DeleteServerGroup
nlb:UpdateServerGroupAttribute
nlb:AddServersToServerGroup
nlb:RemoveServersFromServerGroup
nlb:UpdateServerGroupServersAttribute
nlb:ListServerGroups
nlb:ListServerGroupServers
nlb:LoadBalancerLeaveSecurityGroup
nlb:LoadBalancerJoinSecurityGroup
nlb:DisableLoadBalancerIpv6Internet
nlb:EnableLoadBalancerIpv6Internet
nlb: アップデートLoadBalancerProtection
nlb:AttachCommonBandwidthPackageToLoadBalancer
nlb:DetachCommonBandwidthPackageFromLoadBalancer
nlb:GetJobStatus
CMS関連の権限
cms:DescribeMetricData
cms:DescribeMetricLast
cms:DescribeMetricMetaList
cms:DescribeMetricTop
cms:QueryMetricData
cms:QueryMetricLast
cms:DescribeMetricList
cms:QueryMetricList
cms:MetricMeta
ACR関連の権限
cr:Get *
cr: リスト *
cr:PullRepository
AliyunCSManagedLogRole
シンプルなLog Service関連の権限
ログ: CreateProject
ログ: GetProject
ログ: DeleteProject
log:CreateLogStore
ログ: GetLogStore
log:UpdateLogStore
log:DeleteLogStore
ログ: CreateConfig
log:UpdateConfig
log:GetConfig
log:DeleteConfig
log:CreateMachineGroup
log:UpdateMachineGroup
log:GetMachineGroup
log:DeleteMachineGroup
log:ApplyConfigToGroup
log:GetAppliedMachineGroups
log:GetAppliedConfigs
ログ: RemoveConfigFromMachineGroup
log:RemoveConfigFromGroup
ログ: CreateIndex
ログ: GetIndex
ログ: UpdateIndex
ログ: DeleteIndex
ログ: CreateSavedSearch
ログ: GetSavedSearch
ログ: UpdateSavedSearch
ログ: DeleteSavedSearch
ログ: CreateDashboard
ログ: GetDashboard
ログ: UpdateDashboard
ログ: DeleteDashboard
ログ: CreateJob
ログ: GetJob
ログ: DeleteJob
ログ: UpdateJob
ログ: PostLogStoreLogs
ログ: CreateSortedSubStore
ログ: GetSortedSubStore
ログ: ListSortedSubStore
ログ: UpdateSortedSubStore
ログ: DeleteSortedSubStore
ログ: CreateApp
ログ: UpdateApp
ログ: GetApp
ログ: DeleteApp
ログ: GetLogStoreLogs
ログ: TagResources
log:ListJobs
ログ: ListTagResources
log:UntagResources
ログ: CreateResourceRecord
ログ: UpdateResourceRecord
ログ: UpsertResourceRecord
ログ: GetResourceRecord
ログ: DeleteResourceRecord
ログ: ListResourceRecords
log:ListResources
ログ: GetResource
ログ: PutLogs
ログ: UpdateLogStoreMeteringMode
ログ: GetLogStoreMeteringMode
ログ: CreateLogtailPipelineConfig
ログ: DeleteLogtailPipelineConfig
ログ: GetLogtailPipelineConfig
ログ: UpdateLogtailPipelineConfig
ログ: ListLogtailPipelineConfig
ログ: CreateSubStore
cs:UpdateContactGroup
cs:DescribeTemplates
cs:DescribeTemplateAttribute
eventbridge:PutEvents
AliyunCSManagedCmsRole
CMS関連の権限
cms:DescribeMonitorGroups
cms:DescribeMonitorGroupInstances
cms:CreateMonitorGroup
cms:DeleteMonitorGroup
cms:ModifyMonitorGroupInstances
cms:CreateMonitorGroupInstances
cms:DeleteMonitorGroupInstances
cms:TaskConfigCreate
cms:TaskConfigList
cms:DescribeMetricList
cms:QueryMetricList
cms:CreateDynamicTagGroup
cms:PutGroupMetricRule
cms:DescribeMetricRuleList
cms:DeleteMetricRules
cs:DescribeMonitorToken
ahas:GetSentinelAppSumMetric
ログ: GetLogStoreLogs
slb:DescribeMetricList
sls:GetLogs
sls:PutLogs
AliyunCSManagedArmsRole
ARMS関連の権限
アーム: CMonitorCloudInstances
腕: CMonitorRegister
腕: ConfigAgentLabel
アーム: CreateAlertRules
arms:CreateAlertTemplate
腕: CreateApp
腕: CreateContact
アーム: CreateContactGroup
アーム: CreateDispatchRule
アーム: CreateOrUpdateIMRobot
腕: CreateOrUpdateWebhookContact
腕: CreateProm
アーム: CreatePrometheusAlertRule
腕: DeleteAlert
腕: DeleteAlertContact
アーム: DeleteAlertContactGroup
腕: DeleteAlertRules
腕: DeleteAlertTemplate
腕: DeleteApp
腕: DeleteContact
アーム: DeleteContactGroup
腕: DeleteContactLink
腕: DeleteContactMember
アーム: DeleteDispatchRule
腕: DeleteIMRobot
腕: DeletePrometheusAlertRule
腕: DeleteWebhookContact
腕: DescribeDispatchRule
腕: DescribeIMRobots
腕: DescribePrometheusAlertRule
腕: DescribeWebhookContacts
腕: DisableAlertTemplate
腕: EnableAlertTemplate
腕: GetAlarmHistories
腕: GetAlert
腕: GetAlertEvents
腕: GetAlertRules
腕: GetAlertRulesByPage
腕: GetAssumeRoleCredentials
腕: GetCommercialStatus
腕: InstallEventer
腕: InstallManagedPrometheus
腕: ListActivatedAlerts
腕: ListAlertTemplates
arms:ListDashboards
腕: ListDispatchRule
腕: ListEscalationPolicies
腕: ListOnCallSchedules
腕: ListPrometheusAlertRules
腕: ListPrometheusAlertTemplates
腕: QueryAlarmHistory
腕: QueryAlarmName
腕: SaveAlert
腕: SaveContactGroup
腕: SaveContactMember
腕: SaveTraceAppConfig
腕: SearchAlarmHistories
腕: SearchAlertRules
腕: SearchContact
腕: SearchContactGroup
arms:SearchEvents
腕: SendTTSVerifyLink
腕: StartAlert
腕: StartAlertRule
腕: StopAlert
腕: StopAlertRule
腕: UninstallManagedPrometheus
腕: UpdateAlertRules
arms:UpdateAlertTemplate
腕: UpdateContact
arms:UpdateContactGroup
arms:UpdateContactMember
腕: UpdateDispatchRule
腕: UpdatePrometheusAlertRule
腕: UpgradeAddonRelease
腕: CheckServiceStatus
腕: GetClusterAllUrl
腕: GetClusterInfoForArms
腕: GetExploreUrl
アーム: GetIntegrationState
腕: GetManagedPrometheusStatus
腕: ListAlertEvents
腕: QueryMetric
腕: QueryPromInstallStatus
腕: SearchAlertContactGroup
腕: SearchAlertHistories
腕: CreateAlertContact
アーム: CreateAlertContactGroup
アーム: ImportCustomAlertRules
腕: SearchAlertContact
腕: UpdateAlertContact
腕: UpdateAlertContactGroup
腕: UpdateAlertRule
arms:UpdateWebhook
腕: InnerFetchContactGroupByArmsContactGroupId
xtrace:GetToken
腕: ListEnvironments
腕: DescribeAddonRelease
腕: InstallAddon
腕: DeleteAddonRelease
アーム: ListEnvironmentDashboards
腕: ListAddonReleases
アーム: CreateEnvironment
腕: InitEnvironment
腕: DescribeEnvironment
腕: InstallEnvironmentFeature
腕: ListEnvironmentFeatures
腕: UpdateEnvironment
腕: GetPrometheusInstance
腕: GetPrometheusApiToken
MSE関連の権限
mse:AddBlackWhiteList
mse:AddGateway
mse:AddServiceSource
mse:CreateApplication
mse:DeleteGateway
mse:GetBlackWhiteList
mse:GetGateway
mse:GetGatewayDetail
mse:GetGatewayOption
mse:ListServiceSource
mse:ListTagResources
mse:ModifyLosslessRule
mse:TagResources
mse:UntagResources
mse:UpdateBlackWhiteList
mse:UpdateGatewayOption
mse:UpdateServiceSource
mse:GetLicenseKey
mse:CreateGovernanceKubernetesクラスター
mse:ReportOnePilotInfo
mse:GenerateAgentLogSts
mse:GetOpenSergoInfoByClusterId
mse:ListNamespaces
mse:ReportAppProfile
シンプルなLog Service関連の権限
ログ: PostLogStoreLogs
ログ: RemoteWritePrometheus
ログ: RemoteWrite
関連ドキュメント
ACK Oneの権限と承認シナリオの詳細については、「承認の概要」をご参照ください。
ACK Oneリソースに対するRAMユーザーまたはRAMロールの権限を付与するには、「RAMユーザーまたはRAMロールへのシステム権限ポリシーのアタッチ」をご参照ください。
指定されたクラスター内のKubernetesリソースに対するRAMユーザーまたはRAMロールの権限を付与するには、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。