すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:GrantPermissions

    ドキュメントセンター

    Container Service for Kubernetes:GrantPermissions

    最終更新日:Apr 04, 2026

    デフォルトでは、クラスターの作成者ではなく、かつクラスターの完全な権限を付与されていない RAM ユーザーまたは RAM ロールは、クラスター内での RBAC 権限を持ちません。このインターフェイスを呼び出すことで、RAM ユーザー/ロールの RBAC アクセス権限 (アクセス可能なリソース、権限範囲、事前定義ロールなど) を更新し、Container Service for Kubernetes (ACK) クラスター内のリソースに対するセキュリティコントロールを強化できます。

    操作説明

    • Resource Access Management (RAM) アカウントを使用してこの操作を呼び出す場合、他の RAM ユーザーまたは RAM ロールのクラスター権限付与情報を変更する権限があることを確認してください。権限がない場合、StatusForbidden または ForbiddenGrantPermissions エラーコードが返されます。詳細については、「RAM ユーザーを使用した他の RAM ユーザーへの RBAC 権限の付与」をご参照ください。

    • この操作は、対象の RAM ユーザーまたは RAM ロールに設定されている既存のクラスター権限をすべて上書きします。リクエストには、RAM ユーザーまたは RAM ロールに付与したいすべての権限を指定する必要があります。

    今すぐお試しください

    この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

    テスト

    RAM 認証

    下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

    • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

    • API:アクションを具体的に実行するための API。

    • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

    • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

      • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

      • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

    • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

    • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

    アクション

    アクセスレベル

    リソースタイプ

    条件キー

    依存アクション

    cs:GrantPermission

    update

    *All Resource

    *

    		 なし なし

    リクエスト構文

    POST /permissions/users/{uid} HTTP/1.1

    パスパラメータ

    パラメーター

    必須 / 任意

    説明

    uid

    string

    必須

    権限を更新する RAM ユーザーまたは RAM ロールの ID。

    2367****

    リクエストパラメーター

    パラメーター

    必須 / 任意

    説明

    body

    array<object>

    任意

    リクエストボディ。

    object

    任意

    クエリされた権限。

    cluster

    string

    必須

    RAM ロールに権限を付与する対象となるクラスターの ID。

    • role_typeall-clusters の場合、このパラメーターを空の文字列に設定します。

    c796c60***
    is_custom

    boolean

    任意

    RAM ユーザーまたは RAM ロールにカスタムロールを割り当てるかどうかを指定します。カスタムロールを割り当てる場合は、role_name にカスタムロールの名前を設定します。

    false
    role_name

    string

    必須

    事前定義されたロール名。有効な値:

    • admin:管理者

    • admin-view:読み取り専用管理者

    • ops:O&M エンジニア

    • dev:開発者

    • restricted:制限付きユーザー

    • カスタムロール

    注意:

    • adminadmin-viewops ロールには、名前空間レベルの権限を付与できません。

    • admin-view ロールには、すべてのクラスターレベルの権限を付与できません。

    列挙値:

    • ops :

      ops

    • dev :

      dev

    • restricted :

      restricted

    • admin-view :

      admin-view

    • admin :

      admin

    ops
    role_type

    string

    必須

    権限付与タイプ。有効な値:

    • cluster:指定されたクラスターを管理する権限を RAM ユーザーまたは RAM ロールに付与します。

    • namespace:指定された名前空間を管理する権限を RAM ユーザーまたは RAM ロールに付与します。

    • all-clusters:すべてのクラスターを管理する権限を RAM ユーザーまたは RAM ロールに付与します。

    cluster
    namespace

    string

    任意

    RAM ユーザーまたは RAM ロールに管理を許可する名前空間。このパラメーターは、role_type を namespace に設定した場合にのみ必須です。

    test
    is_ram_role

    boolean

    任意

    RAM ロールを使用して権限を付与するかどうかを指定します。

    false

    レスポンスフィールド

    フィールド

    説明

    レスポンスフィールドがありません。

    成功レスポンス

    JSONJSON

    {}

    エラーコード

    完全なリストについては、「エラーコード」をご参照ください。

    変更履歴

    完全なリストについては、「変更履歴」をご参照ください。