Container Service for Kubernetes (ACK) 管理クラスターのワーカーRAMロールの権限をさらに制限するために、ACKは2023年4月3日にaliyun-acr-credential-helperコンポーネントの段階的リリースを実行する予定です。 新しいaliyun-acr-credential-helperバージョンは、ACK管理クラスターのワーカーRAMロールにアタッチされた権限ポリシーに依存しなくなります。 新しいaliyun-acr-credential-helperバージョンを通常どおり使用するには、システムロールAliyunCSManagedAcrRoleをACKに割り当てる必要があります。
影響の範囲
2023年4月3日より前に作成され、aliyun-acr-credential-helperを使用するACK標準およびACK Proクラスターを含むACK管理クラスターのみが影響を受けます。
重要 4月3日より前に作成されたACKクラスターは、以前と2023にaliyun-acr-credential-helperを引き続き使用できます。
影響
2023年4月3日より前にAliyunCSManagedAcrRoleロールをACKに割り当てない場合、2023年4月3日より前に作成されたACK管理クラスターにaliyun-acr-credential-helperコンポーネントをインストールまたは更新することはできません。
このシナリオでは、コンソールに [事前チェックに合格しませんでした] が表示されます。 コンポーネントの [レポートの表示] をクリックし、ページの [AliyunCSManagedAcrRoleロールをACKに割り当てる] の指示に従います。
この変更は、2023年4月3日より前に作成されたクラスターには影響しません。 これらのクラスターは、以前と同様にaliyun-acr-credential-helperを引き続き使用できます。 2023年4月3日以降に作成されたクラスターの場合、aliyun-acr-credential-helperを使用したイメージプルが影響を受けます。 次の表に、影響と提案を示します。| 画像プルシナリオ | 実装 | ワーカーRAMロールにアタッチされた権限ポリシーのステータス | インパクトと提案 |
| 同じアカウント内の画像をプルする | ポリシーは変更されません。 | 影響なし。 デフォルトの方法を使用して、新しいコンポーネントバージョンをインストールして使用できます。 | |
| ポリシーは、Container Registry権限ポリシーのカスタマイズをサポートするように変更されます。 | デフォルトでは、新しいコンポーネントバージョンはContainer Registryアクセス許可ポリシーのカスタマイズをサポートしていません。 Container Registryのアクセス許可ポリシーをカスタマイズするには、次の提案に注意してください。
| ||
| 別のアカウントから画像を取得する | ワーカーRAMロールを想定 | ポリシーが変更されました。 このシナリオでは、ワーカーRAMロールを変更する必要があります。 | 別のアカウントから画像を取得する場合は、次の提案に注意してください。
|
| RRSAモードを使用する | ポリシーは変更されません。 ワーカーRAMロールを変更する必要はありません。 | 影響なし。 引き続きこの方法を使用して画像をプルできます。 | |
| RAMユーザーのAccessKey IDとAccessKeyシークレットの使用 | ポリシーは変更されません。 ワーカーRAMロールを変更する必要はありません。 | 影響なし。 引き続きこの方法を使用して画像をプルできます。 | |
| リージョン間で画像をプルする | ポリシーは変更されません。 | 影響なし。 デフォルトの方法を使用して、新しいコンポーネントバージョンをインストールして使用できます。 | |
| ポリシーは、Container Registry権限ポリシーのカスタマイズをサポートするように変更されます。 | デフォルトでは、新しいコンポーネントバージョンはContainer Registryアクセス許可ポリシーのカスタマイズをサポートしていません。 Container Registryのアクセス許可ポリシーをカスタマイズするには、次の提案に注意してください。
| ||
AliyunCSManagedAcrRoleロールをACKに割り当てる
2023年4月3日以降もシステムロールAliyunCSManagedAcrRoleをACKに割り当てることができます。 4月3日より前に作成されたクラスターにaliyun-acr-credential-helperコンポーネントをインストールおよび更新できるようにするには、新しいコンポーネントバージョンがリリースされた後で2023、2023年4月3日より前にAliyunCSManagedAcrRoleロールをACKに割り当てることを推奨します。 このセクションでは、AliyunCSManagedAcrRoleロールをACKに割り当てる方法について説明します。重要 この権限付与は、各Alibaba Cloudアカウントで1回だけ実行する必要があります。
手順
- Alibaba CloudアカウントまたはAdministratorAccess権限を持つRAMユーザーを使用して、Cloud Resource Access Authorizationコンソールにログインします。
- [クラウドリソースアクセス権限付与] ページで、[権限付与ポリシーの確認] をクリックして、AliyunCSManagedAcrRoleロールをACKに割り当てます。
権限ポリシー
デフォルトでは、aliyun-acr-credential-helperコンポーネントは次の権限ポリシーに依存しています:
{
"Action": [
"cr:GetAuthorizationToken" 、
"cr:ListInstanceEndpoint" 、
"cr:PullRepository"
],
"Resource": [
"*"
],
"効果": "許可"
}