Container Compute Service (ACS) をアクティブ化する際、Container Compute Service が VPC、ENI、NAS、SLB などの関連クラウドリソースを呼び出してクラスターを作成し、ログを保存できるように、システムデフォルトロールをサービスアカウントに付与する必要があります。このトピックでは、Container Compute Service (ACS) のデフォルトロールに含まれる権限について説明します。
デフォルトロールの権限
次の表に、ACS のデフォルトロールを示します。
ロール | 説明 |
AliyunServiceRoleForAcc | このロールはサービスリンクロールです。ACS は、コンテナサービス Kubernetes 版 (ACK)、Elastic Compute Service (ECS)、VPC、SLB、Application Real-Time Monitoring Service (ARMS) など、クラスタ管理中に他の Alibaba Cloud サービスのリソースにアクセスするためにこのロールを引き受けます。 |
AliyunCCCSIPluginRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、クラウドディスクまたは NAS などのストレージサービスのリソースにアクセスします。 |
AliyunCCCCMServiceRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、SLB や Application Load Balancer (ALB) などのロードバランシングサービスのリソースにアクセスします。 |
AliyunCCNECRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、VPC や ECS などのネットワークサービスのリソースにアクセスし、Elastic IP アドレス (EIP) を作成および使用します。 |
AliyunCCKubernetesAuditRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、Simple Log Service (SLS) のリソースにアクセスし、Kubernetes 監査ログを収集して表示します。 |
AliyunCCManagedLogRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、SLS のリソースにアクセスし、ACS コンテナログを収集して表示します。 |
AliyunCCManagedArmsRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ARMS のリソースにアクセスし、ACS コンテナのさまざまなリソースメトリクスを収集して表示し、アプリケーションパフォーマンスのメトリクスを監視します。 |
AliyunCCCISDefaultRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ECS、ACK、VPC、SLB などのクラウドサービスのリソースにアクセスし、Kubernetes および関連コンポーネントのヘルスステータスを定期的にチェックします。 |
AliyunCCManagedAcrRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、Container Registry (ACR) にアクセスし、ACS ポッドの起動に使用される一時的なユーザー名とパスワードのペアを取得します。 |
AliyunCCForResourceProviderRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ポッドの作成時に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCCManagedVirtualNodeRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、仮想ノードの作成時に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCCManagedACSBrokerRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ポッドの O&M 情報の取得時に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCCManagedMseRole | デフォルトでは、ACS クラスターはこのロールを偽装して、MSE のユーザーリソースにアクセスし、MSE ゲートウェイを作成して使用します。 |
AliyunCSManagedKubernetesRole | ACS クラスターのコントロールプレーンのコアコンポーネントは、このロールを使用して、ECS、SLB、ALB、CloudMonitor、SLS、Security Center、およびその他のサービスのユーザーリソースにアクセスします。 |
AliyunCSDefaultRole | デフォルトでは、ACS はこのロールを引き受けて、Kubernetes クラスタを作成、削除、またはアップグレードします。 |
AliyunServiceRoleForAcc
このロールはサービスリンクロールです。ACS は、ACK、ECS、VPC、SLB、ARMS など、クラスター管理中に他の Alibaba Cloud サービスのリソースにアクセスするためにこのロールを引き受けます。
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:CreateNetworkInterface | 弾性ネットワークインターフェース (ENI) を作成します。 |
ecs:DescribeNetworkInterfaces | ENI をクエリします。 |
ecs:AttachNetworkInterface | ENI を VPC 接続の ECS インスタンスにアタッチします。 |
ecs:DetachNetworkInterface | ECS インスタンスから ENI をデタッチします。 |
ecs:DeleteNetworkInterface | ENI を削除します。 |
ecs:DescribeInstanceAttribute | 1 つ以上の ECS インスタンスに関する情報をクエリします。 |
ecs:AssignPrivateIpAddresses | 1 つ以上のセカンダリプライベート IP アドレスを ENI に割り当てます。 |
ecs:UnassignPrivateIpAddresses | ENI から 1 つ以上のセカンダリプライベート IP アドレスの割り当てを解除します。 |
ecs:DescribeInstances | 1 つ以上の ECS インスタンスの詳細をクエリします。 |
ecs:DescribeInstanceTypes | ECS によって提供されるすべてのインスタンスタイプまたは指定されたインスタンスタイプの詳細をクエリします。 |
ecs:AssignIpv6Addresses | 1 つ以上の IPv6 アドレスを ENI に割り当てます。 |
ecs:UnassignIpv6Addresses | ENI から 1 つ以上の IPv6 アドレスの割り当てを解除します。 |
ecs:ModifyNetworkInterfaceAttribute | ENI に関する情報を変更します。 |
ecs:CreateNetworkInterfacePermission | ENI を作成します。 |
ecs:DeleteNetworkInterfacePermission | ENI を削除します。 |
ecs:DescribeNetworkInterfacePermissions | ENI をクエリします。 |
ecs:CreateSecurityGroup | セキュリティグループを作成します。 |
ecs:ModifySecurityGroupEgressRule | セキュリティグループのアウトバウンドルールを変更します。 |
ecs:ModifySecurityGroupPolicy | 基本セキュリティグループの内部アクセス制御ポリシーを変更します。 |
ecs:ModifySecurityGroupRule | セキュリティグループのインバウンドルールを変更します。 |
ecs:DescribeSecurityGroups | セキュリティグループに関する基本情報をクエリします。 |
ecs:RevokeSecurityGroup | セキュリティグループルールを取り消します。 |
ecs:RevokeSecurityGroupEgress | セキュリティグループのアウトバウンドルールを削除します。ルールが削除されると、ルールによって実装されたアクセス制御が削除されます。 |
ecs:DeleteSecurityGroup | セキュリティグループを削除します。 |
ecs:DescribeSecurityGroupAttribute | セキュリティグループのルールをクエリします。 |
ecs:AuthorizeSecurityGroup | セキュリティグループのインバウンドルールを設定します。 |
ecs:AuthorizeSecurityGroupEgress | セキュリティグループのアウトバウンドルールを設定します。 |
VPC関連のパーミッション
パーミッション (アクション) | 説明 |
vpc:DescribeVSwitches | 作成されたvSwitchをクエリします。 |
vpc:DescribeVpcs | 作成されたVPCをクエリします。 |
vpc:DescribeVpcAttribute | VPC の構成をクエリします。 |
vpc:DescribeVSwitchAttributes | vSwitch の構成をクエリします。 |
ACK関連のパーミッション
パーミッション (アクション) | 説明 |
cs:CreateCluster | Kubernetesクラスターを作成します。 |
cs:CreateClusterByResourcesGroup | リソースグループに属する Kubernetes クラスターを作成します。 |
cs:DeleteCluster | Kubernetesクラスターを削除します。 |
cs:DescribeClusterDetail | Kubernetesクラスターの詳細をクエリします。 |
cs:DescribeClusterUserKubeconfig | Kubernetesクラスター内のユーザーのkubeconfigファイルをクエリします。 |
cs:DescribeClusters | Kubernetesクラスターをクエリします。 |
cs:DescribeClustersV1 | Kubernetesクラスターをクエリします。 |
cs:DescribeEvents | 例外をクエリします。 |
cs:DescribeTaskInfo | タスクIDによってタスクの実行の詳細をクエリします。 |
cs:GetClusters | Kubernetesクラスターをクエリします。 |
cs:ListTagResources | クラスターIDによってクラスター内のリソースのラベルをクエリします。 |
cs:ModifyCluster | クラスターに関する情報を変更します。 |
cs:ModifyClusterTags | クラスターのラベルを変更します。 |
cs:TagResources | クラスターにラベルを追加します。 |
cs:UntagResources | クラスターからラベルを削除します。 |
ARMS関連のパーミッション
パーミッション (アクション) | 説明 |
arms:InstallManagedPrometheus | マネージドPrometheusインスタンスを作成します。 |
arms:UnInstallManagedPrometheus | マネージドPrometheusインスタンスを削除します。 |
arms:GetManagedPrometheusStatus | マネージドPrometheusインスタンスのステータスをクエリします。 |
SLB関連のパーミッション
パーミッション (アクション) | 説明 |
slb:AddBackendServers | バックエンドサーバーを追加します。 |
slb:RemoveBackendServers | バックエンドサーバーを削除します。 |
slb:DescribeLoadBalancerAttribute | SLBインスタンスの詳細をクエリします。 |
slb:SetLoadBalancerTCPListenerAttribute | TCPリスナーの構成を変更します。 |
slb:DescribeLoadBalancers | 作成されたSLBインスタンスをクエリします。 |
AliyunCCCSIPluginRole
デフォルトでは、ACS クラスタはこのロールを担って、クラウドディスクまたは NAS などのストレージサービスのリソースにアクセスします。
EBS関連のパーミッション
パーミッション (アクション) | 説明 |
ebs:CreateContainerDisk | クラウドディスクを作成します。 |
ebs:DescribeContainerDisks | クラウドディスクを照会します。 |
ebs:GetContainerDisk | クラウドディスクを照会します。 |
ebs:DeleteContainerDisk | クラウドディスクを削除します。 |
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:AttachDisk | クラウドディスクを接続します。 |
ecs:DetachDisk | クラウドディスクを切断します。 |
ecs:DescribeDisks | クラウドディスクを照会します。 |
ecs:CreateDisk | クラウドディスクを作成します。 |
ecs:DeleteDisk | クラウドディスクを削除します。 |
ecs:AddTags | クラウドディスクにラベルを追加します。 |
ecs:RemoveTags | クラウドディスクからラベルを削除します。 |
ecs:DescribeTags | 使用可能なラベルを照会します。 |
ecs:DescribeInstances | 1 つ以上の ECS インスタンスの詳細を照会します。 |
NAS関連のパーミッション
パーミッション (アクション) | 説明 |
nas:CreateFileSystem | ファイルシステムを作成します。 |
nas:CreateMountTarget | ファイルシステムにマウントターゲットを作成します。 |
nas:DeleteFileSystem | ファイルシステムを削除します。 |
nas:DeleteMountTarget | ファイルシステム内のマウントターゲットを削除します。 |
nas:DescribeFileSystems | ファイルシステムに関する情報を照会します。 |
nas:DescribeMountTargets | ファイルシステム内のマウントターゲットを照会します。 |
nas:ModifyFileSystem | ファイルシステムの説明を変更します。 |
nas:ModifyMountTarget | ファイルシステム内のマウントターゲットの説明を変更します。 |
nas:AddTags | ファイルシステムにラベルを追加します。 |
nas:DescribeTags | 使用可能なラベルを照会します。 |
nas:RemoveTags | ファイルシステムからラベルを削除します。 |
nas:EnableRecycleBin | ファイルシステムのごみ箱機能を有効にします。 |
nas:GetRecycleBinAttribute | 汎用 NAS ファイルシステムのごみ箱構成を照会します。 |
nas:SetDirQuota | ファイルシステムのディレクトリクォータを作成します。 |
nas:DescribeDirQuotas | ファイルシステムのディレクトリクォータを照会します。 |
AliyunCCCCMServiceRole
デフォルトでは、ACS クラスターはこのロールを偽装して、ACS Cloud Controller Manager (CCM) プラグインを使用して、SLB や ALB などのロードバランシングサービスを作成および使用します。
SLB関連のパーミッション
パーミッション (アクション) | 説明 |
slb:AddBackendServers | バックエンドサーバーを追加します。 |
slb:AddTags | SLBインスタンスにラベルを追加します。 |
slb:AddVServerGroupBackendServers | バックエンドサーバーを追加します。 |
slb:CreateLoadBalancer | SLBインスタンスを作成します。 |
slb:CreateLoadBalancerHTTPListener | SLBインスタンスのHTTPリスナーを作成します。 |
slb:CreateLoadBalancerHTTPSListener | SLBインスタンスのHTTPSリスナーを作成します。 |
slb:CreateLoadBalancerTCPListener | SLBインスタンスのTCPリスナーを作成します。 |
slb:CreateLoadBalancerUDPListener | SLBインスタンスのUDPリスナーを作成します。 |
slb:CreateVServerGroup | vServerグループを作成し、vServerグループにバックエンドサーバーを追加します。 |
slb:DeleteLoadBalancer | 従量課金制のSLBインスタンスを削除します。 |
slb:DeleteLoadBalancerListener | SLBインスタンスのリスナーを削除します。 |
slb:DeleteVServerGroup | vServerグループを削除します。 |
slb:DescribeLoadBalancerAttribute | SLBインスタンスの詳細を照会します。 |
slb:DescribeLoadBalancerHTTPListenerAttribute | HTTPリスナーの設定を照会します。 |
slb:DescribeLoadBalancerHTTPSListenerAttribute | HTTPSリスナーの設定を照会します。 |
slb:DescribeLoadBalancerListeners | SLBインスタンスのリスナーを照会します。 |
slb:DescribeLoadBalancerTCPListenerAttribute | TCPリスナーの設定を照会します。 |
slb:DescribeLoadBalancerUDPListenerAttribute | UDPリスナーの設定を照会します。 |
slb:DescribeLoadBalancers | 作成されたSLBインスタンスを照会します。 |
slb:DescribeTags | 使用可能なラベルを照会します。 |
slb:DescribeVServerGroupAttribute | vServerグループの詳細を照会します。 |
slb:DescribeVServerGroups | vServerグループを照会します。 |
slb:ModifyLoadBalancerInstanceSpec | SLBインスタンスの仕様を変更します。 |
slb:ModifyLoadBalancerInternetSpec | インターネット向けSLBインスタンスの課金方法を変更します。 |
slb:ModifyVServerGroupBackendServers | vServerグループ内のバックエンドサーバーを置き換えます。 |
slb:RemoveBackendServers | バックエンドサーバーを削除します。 |
slb:RemoveTags | SLBインスタンスからラベルを削除します。 |
slb:RemoveVServerGroupBackendServers | vServerグループからバックエンドサーバーを削除します。 |
slb:SetLoadBalancerDeleteProtection | SLBインスタンスの削除保護を有効または無効にします。 |
slb:SetLoadBalancerHTTPListenerAttribute | HTTPリスナーの設定を変更します。 |
slb:SetLoadBalancerHTTPSListenerAttribute | HTTPSリスナーの設定を変更します。 |
slb:SetLoadBalancerModificationProtection | Server Load Balancer インスタンスの保護ステータスを設定します。 |
slb:SetLoadBalancerName | SLBインスタンスの名前を変更します。 |
slb:SetLoadBalancerTCPListenerAttribute | TCPリスナーの設定を変更します。 |
slb:SetLoadBalancerUDPListenerAttribute | UDPリスナーの設定を変更します。 |
slb:SetVServerGroupAttribute | vServerグループの設定を変更します。 |
slb:StartLoadBalancerListener | リスナーを開始します。 |
slb:StopLoadBalancerListener | リスナーを停止します。 |
ALB関連のパーミッション
パーミッション (アクション) | 説明 |
alb:AddServersToServerGroup | サーバーグループにバックエンドサーバーを追加します。 |
alb:AssociateAdditionalCertificatesWithListener | リスナーに追加の証明書を関連付けます。 |
alb:CreateListener | リージョンにHTTP、HTTPS、またはQUICリスナーを作成します。 |
alb:CreateLoadBalancer | リージョンにALBインスタンスを作成します。 |
alb:CreateRule | リスナーの転送ルールを作成します。 |
alb:CreateRules | 複数の転送ルールを作成します。 |
alb:CreateServerGroup | リージョンにサーバーグループを作成します。 |
alb:DeleteListener | リスナーを削除します。 |
alb:DeleteLoadBalancer | ALBインスタンスを削除します。 |
alb:DeleteRule | 転送ルールを削除します。 |
alb:DeleteRules | リスナーから複数の転送ルールを一度に削除します。 |
alb:DeleteServerGroup | サーバーグループを削除します。 |
alb:DescribeZones | リージョン内のゾーンを照会します。 |
alb:DisableDeletionProtection | ALBインスタンスの削除保護を無効にします。 |
alb:DisableLoadBalancerAccessLog | ALBインスタンスのアクセスログ機能を無効にします。 |
alb:DissociateAdditionalCertificatesFromListener | リスナーから追加の証明書を関連付け解除します。 |
alb:EnableDeletionProtection | リソースの削除保護を有効にします。 |
alb:EnableLoadBalancerAccessLog | ALBインスタンスのアクセスログ機能を有効にします。 |
alb:GetListenerAttribute | リスナーの詳細を照会します。 |
alb:GetLoadBalancerAttribute | ALBインスタンスの詳細を照会します。 |
alb:ListListenerCertificates | 追加の証明書とデフォルトの証明書を含む、リスナーに関連付けられている証明書を照会します。 |
alb:ListListeners | リージョン内のリスナーを照会します。 |
alb:ListLoadBalancers | リージョン内のALBインスタンスを照会します。 |
alb:ListRules | リージョン内の転送ルールを照会します。 |
alb:ListServerGroupServers | サーバーグループ内のサーバーを照会します。 |
alb:ListServerGroups | リージョン内のサーバーグループを照会します。 |
alb:RemoveServersFromServerGroup | サーバーグループからバックエンドサーバーを削除します。 |
alb:ReplaceServersInServerGroup | サーバーグループ内のバックエンドサーバーを置き換えます。 |
alb:TagResources | リソースにラベルを追加します。 |
alb:UnTagResources | リソースからラベルを削除します。 |
alb:UpdateListenerAttribute | 名前やデフォルトのアクションなど、リスナーの設定を更新します。 |
alb:UpdateLoadBalancerAttribute | 名前や設定読み取り専用モードなど、ALBインスタンスの属性を更新します。 |
alb:UpdateLoadBalancerEdition | ALBインスタンスのエディションを変更します。 |
alb:UpdateRuleAttribute | 条件、アクション、名前など、転送ルールの設定を更新します。 |
alb:UpdateRulesAttribute | 複数の転送ルール設定を更新します。 |
alb:UpdateServerGroupAttribute | ヘルスチェック、セッション永続化、サーバーグループ名、スケジューリングアルゴリズム、プロトコルなどのサーバーグループの設定を更新します。 |
alb:DescribeZones | リージョン内のゾーンを照会します。 |
alb:CreateAcl | リージョンにアクセス制御リスト (ACL) を作成します。 |
alb:DeleteAcl | ACL を削除します。 |
alb:ListAcls | リージョン内の ACL を照会します。 |
alb:AddEntriesToAcl | ACL に IP アドレスエントリを追加します。 |
alb:AssociateAclsWithListener | リスナーに ACL を関連付けます。 |
alb:ListAclEntries | ACL のエントリを照会します。 |
alb:RemoveEntriesFromAcl | ACL からエントリを削除します。 |
alb:DissociateAclsFromListener | リスナーから ACL を関連付け解除します。 |
alb:EnableLoadBalancerIpv6Internet | デュアルスタック ALB インスタンスのプライベート IPv6 アドレスをパブリック IPv6 アドレスに変更します。 |
alb:DisableLoadBalancerIpv6Internet | デュアルスタック ALB インスタンスのパブリック IPv6 アドレスをプライベート IPv6 アドレスに変更します。 |
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:DescribeNetworkInterfaces | 1つ以上のENIの詳細を照会します。 |
VPC関連のパーミッション
パーミッション (アクション) | 説明 |
vpc:DescribeVSwitches | 内部ネットワークに使用される使用可能なvSwitchに関する情報を照会します。 |
vpc:DescribeVpcs | 作成されたVPCを照会します。 |
RAM関連のパーミッション
パーミッション (アクション) | 説明 |
ram:CreateServiceLinkedRole | サービスにリンクされたロールを作成します。 |
AliyunCCNECRole
デフォルトでは、ACS クラスタはこのロールを引き受けて、VPC や ECS などのネットワークサービスのリソースにアクセスし、EIP を作成および使用します。
VPC関連のアクセス許可
アクセス許可 (アクション) | 説明 |
vpc:DescribeVSwitches | 内部ネットワークに使用される利用可能な vSwitch に関する情報をクエリします。 |
vpc:AllocateEipAddress | EIP を申請します。 |
vpc:AllocateEipAddressPro | 指定した EIP を申請します。 |
vpc:DescribeEipAddresses | リージョンで作成された EIP をクエリします。 |
vpc:AssociateEipAddress | EIP と同じリージョンにあるインスタンスに EIP を関連付けます。 |
vpc:UnassociateEipAddress | クラウド リソースから EIP の関連付けを解除します。 |
vpc:ReleaseEipAddress | EIP をリリースします。 |
vpc:ModifyEipAddressAttribute | EIP の名前、説明、および最大帯域幅を変更します。 |
vpc:AddCommonBandwidthPackageIp | EIP を EIP 帯域幅プランに関連付けます。 |
vpc:RemoveCommonBandwidthPackageIp | EIP 帯域幅プランから EIP の関連付けを解除します。 |
vpc:TagResources | リソースにラベルを作成して追加します。 |
ECS関連のアクセス許可
アクセス許可 (アクション) | 説明 |
ecs:DescribeNetworkInterfaces | 1 つ以上の ENI に関する詳細をクエリします。 |
AliyunCCKubernetesAuditRole
デフォルトでは、ACS クラスタはこのロールを担って SLS のリソースにアクセスし、Kubernetes 監査ログを収集して表示します。
権限 (アクション) | 説明 |
log:CreateProject | プロジェクトを作成します。 |
log:GetProject | プロジェクト名でプロジェクトを照会します。 |
log:DeleteProject | プロジェクトを削除します。 |
log:CreateLogStore | プロジェクトにログストアを作成します。 |
log:GetLogStore | ログストアの属性を照会します。 |
log:UpdateLogStore | ログストアの属性を更新します。 |
log:DeleteLogStore | ログストアを削除します。 |
log:CreateConfig | Logtail 構成を作成します。 |
log:UpdateConfig | Logtail 構成を更新します。 |
log:GetConfig | Logtail 構成の詳細を照会します。 |
log:DeleteConfig | Logtail 構成を削除します。 |
log:CreateMachineGroup | Logtail 構成を適用するマシン グループを作成します。 |
log:UpdateMachineGroup | マシン グループを更新します。 |
log:GetMachineGroup | マシン グループに関する情報を照会します。 |
log:DeleteMachineGroup | マシン グループを削除します。 |
log:ApplyConfigToGroup | Logtail 構成ファイルをマシン グループに適用します。 |
log:GetAppliedMachineGroups | マシングループに適用されているマシンのリストを取得します。 |
log:GetAppliedConfigs | マシン グループに適用されている Logtail 構成を照会します。 |
log:RemoveConfigFromMachineGroup | マシン グループから Logtail 構成を削除します。 |
log:CreateIndex | ログストアのインデックスを作成します。 |
log:GetIndex | ログストアのインデックスを照会します。 |
log:UpdateIndex | ログストアのインデックスを更新します。 |
log:DeleteIndex | ログストアからインデックスを削除します。 |
log:CreateSavedSearch | 保存済み検索を作成します。 |
log:GetSavedSearch | 保存済み検索を照会します。 |
log:UpdateSavedSearch | 保存済み検索を更新します。 |
log:DeleteSavedSearch | 保存済み検索を削除します。 |
log:CreateDashboard | ダッシュボードを作成します。 |
log:GetDashboard | ダッシュボードを照会します。 |
log:UpdateDashboard | ダッシュボードを更新します。 |
log:DeleteDashboard | ダッシュボードを削除します。 |
log:CreateJob | アラートタスクやサブスクリプションタスクなどのタスクを作成します。 |
log:GetJob | タスクを照会します。 |
log:DeleteJob | タスクを削除します。 |
log:UpdateJob | タスクを更新します。 |
log:PostLogStoreLogs | ログをログストアに書き込みます。 |
AliyunCCManagedLogRole
デフォルトでは、ACS クラスターはこのロールを偽装して、SLS を使用して Kubernetes の監査ログを収集および表示します。
SLS関連のアクセス許可
権限 (アクション) | 説明 |
log:CreateProject | プロジェクトを作成します。 |
log:GetProject | プロジェクト名でプロジェクトを照会します。 |
log:DeleteProject | プロジェクトを削除します。 |
log:CreateLogStore | プロジェクトに Logstore を作成します。 |
log:GetLogStore | Logstore の属性を照会します。 |
log:UpdateLogStore | Logstore の属性を更新します。 |
log:DeleteLogStore | Logstore を削除します。 |
log:CreateConfig | Logtail 構成を作成します。 |
log:UpdateConfig | Logtail 構成を更新します。 |
log:GetConfig | Logtail 構成に関する詳細を照会します。 |
log:DeleteConfig | Logtail 構成を削除します。 |
log:CreateMachineGroup | Logtail 構成を適用するためのマシングループを作成します。 |
log:UpdateMachineGroup | マシングループを更新します。 |
log:GetMachineGroup | マシングループに関する情報を照会します。 |
log:DeleteMachineGroup | マシングループを削除します。 |
log:ApplyConfigToGroup | Logtail 構成ファイルをマシングループに適用します。 |
log:GetAppliedMachineGroups | Logtail 構成が適用されているマシンを照会します。 |
log:GetAppliedConfigs | マシングループに適用されている Logtail 構成を照会します。 |
log:RemoveConfigFromMachineGroup | マシングループから Logtail 構成を削除します。 |
log:CreateIndex | Logstore のインデックスを作成します。 |
log:GetIndex | Logstore のインデックスを照会します。 |
log:UpdateIndex | Logstore のインデックスを更新します。 |
log:DeleteIndex | Logstore からインデックスを削除します。 |
log:CreateSavedSearch | クイック検索を作成します。 |
log:GetSavedSearch | クイック検索を照会します。 |
log:UpdateSavedSearch | クイック検索を更新します。 |
log:DeleteSavedSearch | クイック検索を削除します。 |
log:CreateDashboard | ダッシュボードを作成します。 |
log:GetDashboard | ダッシュボードを照会します。 |
log:UpdateDashboard | ダッシュボードを更新します。 |
log:DeleteDashboard | ダッシュボードを削除します。 |
log:CreateJob | アラートタスクやサブスクリプションタスクなどのタスクを作成します。 |
log:GetJob | タスクを照会します。 |
log:DeleteJob | タスクを削除します。 |
log:UpdateJob | タスクを更新します。 |
log:PostLogStoreLogs | Logstore にログを書き込みます。 |
log:CreateSortedSubStore | ソートされたサブ Logstore を作成します。 |
log:GetSortedSubStore | ソートされたサブ Logstore を照会します。 |
log:ListSortedSubStore | ソートされたサブ Logstore を一覧表示します。 |
log:UpdateSortedSubStore | ソートされたサブ Logstore を更新します。 |
log:DeleteSortedSubStore | ソートされたサブ Logstore を削除します。 |
log:CreateApp | Cost Manager や Log Audit Service などのアプリケーションを作成します。 |
log:UpdateApp | Cost Manager や Log Audit Service などのアプリケーションを更新します。 |
log:GetApp | Cost Manager や Log Audit Service などのアプリケーションを照会します。 |
log:DeleteApp | Cost Manager や Log Audit Service などのアプリケーションを削除します。 |
cs:DescribeTemplates | コンテナーテンプレートを照会します。 |
cs:DescribeTemplateAttribute | コンテナーテンプレートの属性を照会します。 |
ACK関連のアクセス許可
権限 (アクション) | 説明 |
cs:UpdateContactGroup | アラート連絡先グループを更新します。 |
cs:DescribeTemplates | すべてのオーケストレーション テンプレートをクエリします。 |
cs:DescribeTemplateAttribute | オーケストレーション テンプレートの詳細をクエリします。 |
AliyunCCManagedArmsRole
デフォルトでは、ACS クラスターはこのロールを担って ARMS 内のリソースにアクセスし、ACS コンテナのさまざまなリソースメトリクスを収集して表示し、アプリケーションパフォーマンスのメトリクスを監視します。
ARMS関連のアクセス許可
権限 (アクション) | 説明 |
arms:CreateApp | アプリケーション監視タスクを作成します。 |
arms:DeleteApp | アプリケーション監視タスクを削除します。 |
arms:ConfigAgentLabel | アプリケーション監視エージェントのラベルを変更します。 |
arms:GetAssumeRoleCredentials | アプリケーション監視中にRAMユーザーがRAMロールを引き受けるために必要なキーを照会します。 |
arms:CreateProm | Managed Service for Prometheus に基づいて監視タスクを作成します。 |
arms:SearchEvents | アラートイベントを照会します。 |
arms:SearchAlarmHistories | アラート送信履歴を照会します。 |
arms:SearchAlertRules | アラートルールを照会します。 |
arms:GetAlertRules | アラートルールを取得します。 |
arms:CreateAlertRules | アラートルールを作成します。 |
arms:UpdateAlertRules | アラートルールを更新します。 |
arms:StartAlertRule | アラートルールを有効にします。 |
arms:StopAlertRule | アラートルールを無効にします。 |
arms:CreateContact | アラート連絡先を作成します。 |
arms:SearchContact | アラート連絡先を照会します。 |
arms:UpdateContact | アラート連絡先を更新します。 |
arms:CreateContactGroup | アラート連絡先グループを作成します。 |
arms:SearchContactGroup | アラート連絡先グループを照会します。 |
arms:UpdateContactGroup | アラート連絡先グループを更新します。 |
Xtrace 関連の権限
アクセス許可 (アクション) | 説明 |
xtrace:GetToken |
AliyunCCCISDefaultRole
デフォルトでは、ACS クラスタはこのロールを引き受けて、ECS、ACK、VPC、SLB などのクラウドサービス内のリソースにアクセスし、Kubernetes と関連コンポーネントのヘルスステータスを定期的にチェックします。
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:DescribeInstances | 1 つまたは複数の ECS インスタンスの詳細をクエリします。 |
ecs:DescribeInstanceStatus | 複数の ECS インスタンスのステータス情報をクエリします。 |
ecs:DescribeInstanceTypes | ECS によって提供されるすべてのインスタンスタイプまたは指定されたインスタンスタイプの詳細をクエリします。 |
ecs:DescribeInstanceTypeFamilies | ECS によって提供されるインスタンスファミリをクエリします。 |
ecs:DescribeInstanceAttribute | ECS インスタンスの詳細をクエリします。 |
ecs:DescribeDiagnosticReports | リソース診断レポートをクエリします。 |
ecs:DescribeDiagnosticReportAttributes | リソース診断レポートの詳細をクエリします。 |
ecs:DescribeDiagnosticMetricSets | 診断メトリックセットをクエリします。 |
ecs:DescribeDiagnosticMetrics | 診断メトリックをクエリします。 |
ecs:DescribeSecurityGroupAttribute | セキュリティグループのルールをクエリします。 |
ecs:DescribeSecurityGroups | セキュリティグループの基本情報をクエリします。 |
ecs:DescribeSecurityGroupReferences | セキュリティグループが他のセキュリティグループによって参照されているかどうかを確認します。 |
ecs:DescribeBandwidthLimitation | 異なるインスタンスタイプが関係する場合に、購入、アップグレード、またはダウングレードに使用できる最大パブリック帯域幅をクエリします。 |
ecs:DescribeCloudAssistantStatus | 1 つまたは複数の ECS インスタンスに Cloud Assistant エージェントがインストールされているかどうかをクエリします。Cloud Assistant エージェントがインストールされている場合、システムは実行された Cloud Assistant コマンドの総数、実行中の Cloud Assistant コマンドの数、および Cloud Assistant コマンドが最後に実行された時間をクエリします。 |
ecs:DescribeCommands | 作成した Cloud Assistant コマンド、または Alibaba Cloud が提供する共通の Cloud Assistant コマンドをクエリします。 |
ecs:DescribeInvocationResults | ECS インスタンスで 1 つまたは複数の Cloud Assistant コマンドを実行した結果をクエリします。 |
ecs:CreateCommand | Cloud Assistant コマンドを作成します。 |
ecs:InvokeCommand | 1 つまたは複数の ECS インスタンスで Cloud Assistant コマンドをトリガーします。 |
ecs:StopInvocation | 1 つまたは複数の ECS インスタンスで実行されている Cloud Assistant コマンドのプロセスを停止します。 |
ecs:CreateDiagnosticReport | リソース診断レポートを作成します。MetricSetId パラメーターで指定された診断メトリックセットの診断レポートを生成します。 |
ecs:DescribeNetworkInterfaces | 1 つまたは複数の ENI の詳細をクエリします。 |
ecs:RunCommand | 1 つまたは複数の ECS インスタンスでシェル、PowerShell、またはバッチスクリプトを実行します。 |
VPC関連のパーミッション
パーミッション (アクション) | 説明 |
vpc:DescribeVpcs | 作成された VPC をクエリします。 |
vpc:DescribeVpcAttribute | VPC の構成をクエリします。 |
vpc:DescribeVSwitches | 内部ネットワークに使用される使用可能な vSwitch に関する情報をクエリします。 |
vpc:DescribeVSwitchAttributes | vSwitch の構成をクエリします。 |
vpc:DescribeRouteTableList | ルートテーブルをクエリします。 |
vpc:DescribeRouteEntryList | ルートエントリをクエリします。 |
vpc:DescribeNatGateways | リージョン内の特定の条件を満たす NAT ゲートウェイをクエリします。 |
vpc:DescribeRouteTables | ルートテーブルをクエリします。 |
vpc:DescribeSnatTableEntries | ネットワーク ACL の詳細をクエリします。 |
vpc:DescribeNetworkAcls | ネットワーク ACL をクエリします。 |
vpc:DescribeNetworkAclAttributes | ネットワーク ACL の詳細をクエリします。 |
vpc:DescribeEipAddresses | リージョンで作成された EIP をクエリします。 |
SLB関連のパーミッション
パーミッション (アクション) | 説明 |
slb:DescribeLoadBalancers | 作成された SLB インスタンスをクエリします。 |
slb:DescribeLoadBalancerAttribute | SLB インスタンスの詳細をクエリします。 |
slb:DescribeVServerGroups | vServer グループをクエリします。 |
slb:DescribeVServerGroupAttribute | vServer グループの詳細をクエリします。 |
slb:DescribeLoadBalancerTCPListenerAttribute | TCP リスナーの構成をクエリします。 |
slb:DescribeLoadBalancerUDPListenerAttribute | UDP リスナーの構成をクエリします。 |
slb:DescribeAccessControlLists | 作成されたネットワーク ACL をクエリします。 |
slb:DescribeAccessControlListAttribute | ネットワーク ACL の構成をクエリします。 |
slb:DescribeLoadBalancerListeners | SLB インスタンスのリスナーをクエリします。 |
slb:DescribeHealthStatus | バックエンドサーバーのヘルスステータスをクエリします。 |
SLS関連のパーミッション
パーミッション (アクション) | 説明 |
sls:GetLogStore | Logstore の詳細をクエリします。 |
ATP関連のパーミッション
パーミッション (アクション) | 説明 |
grace:GetFile | ファイルの情報をクエリします。 |
grace:AnalyzeFile | ファイルを分析します。 |
grace:UploadFileByOSS | Object Storage Service (OSS) を使用してファイルをアップロードします。 |
grace:UploadFileByURL | URL を指定してファイルをアップロードします。 |
CloudMonitor関連のパーミッション
パーミッション (アクション) | 説明 |
cms:DescribeMetricData | クラウドサービスのメトリックの監視データをクエリします。 |
cms:DescribeMetricLast | メトリックの最新の監視データをクエリします。 |
cms:DescribeMetricMetaList | CloudMonitor でサポートされているメトリックの詳細をクエリします。 |
cms:DescribeMetricTop | クラウドサービスのメトリックの最新の監視データをクエリし、次にメトリックのソートされた監視データをクエリします。 |
cms:QueryMetricMeta | CloudMonitor でサポートされている時系列メトリックの説明をクエリします。 |
cms:QueryMetricTop | 上位のメトリックをクエリします。 |
cms:ListMetricMeta | データソースメトリックを一覧表示します。 |
cms:QueryMetricData | 指定された期間における CloudMonitor の時系列メトリックの監視データをクエリします。 |
cms:QueryMetricLast | メトリックの最新の監視データをクエリします。 |
cms:DescribeMetricList | Alibaba Cloud サービスのメトリックの監視データをクエリします。 |
cms:QueryMetricList | 一定期間内の特定のサービスのインスタンスまたはクラスタの監視データをクエリします。 |
cms:DescribeAlertLogList | 過去 1 年間のアラートログをクエリします。 |
cms:DescribeSystemEventAttribute | システムイベントの詳細をクエリします。 |
ACK関連のパーミッション
パーミッション (アクション) | 説明 |
cs:DescribeClusterDetail | クラスタ ID によってクラスタの詳細をクエリします。 |
cs:DescribeClusterResources | クラスタ ID によってクラスタ内のすべてのリソースをクエリします。 |
cs:DescribeTaskInfo | タスク ID によってタスクの実行詳細をクエリします。 |
cs:DescribeClusterAddonsUpgradeStatus | コンポーネント名によってコンポーネントの更新進捗をクエリします。 |
リソースクォータ関連のパーミッション
パーミッション (アクション) | 説明 |
quotas:ListProducts | Quota Center でサポートされている Alibaba Cloud サービスをクエリします。 |
quotas:ListProductQuotas | Alibaba Cloud サービスのクォータをクエリします。 |
quotas:ListProductQuotaDimensions | Alibaba Cloud サービスでサポートされているクォータディメンションをクエリします。 |
quotas:GetProductQuota | クォータの詳細をクエリします。 |
quotas:GetProductQuotaDimension | Alibaba Cloud サービスでサポートされているクォータディメンションの詳細をクエリします。 |
RAM関連のパーミッション
パーミッション (アクション) | 説明 |
ram:CreateServiceLinkedRole | サービスリンクロールを作成します。 |
AliyunCCManagedAcrRole
デフォルトでは、ACS クラスタはこのロールを引き受けて ACR にアクセスし、ACS ポッドの起動に使用する一時的なユーザー名とパスワードのペアを取得します。
CR関連のアクセス許可
アクセス許可 (アクション) | 説明 |
cr:GetAuthorizationToken | コンテナーレジストリインスタンスにログインするために使用される一時的なユーザー名とパスワードのペアを照会します。 |
cr:ListInstanceEndpoint | インスタンスのエンドポイントを照会します。 |
AliyunCCForResourceProviderRole
Pod の作成時に、ACS クラスタはデフォルトでこのロールを担い、他の Alibaba Cloud サービスのリソースにアクセスします。
ECS関連の権限
権限 (アクション) | 説明 |
ecs:CreateNetworkInterfacePermission | ENI を作成します。 |
ecs:DeleteNetworkInterfacePermission | ENI を削除します。 |
ecs:CreateNetworkInterface | ENI を作成します。 |
ecs:DeleteNetworkInterface | ENI を削除します。 |
ecs:DescribeSecurityGroups | セキュリティグループに関する基本情報を照会します。 |
ecs:DescribeNetworkInterfaces | ENI を照会します。 |
ecs:CreateDisk | クラウドディスクを作成します。 |
ecs:DescribeDisks | クラウドディスクを照会します。 |
ecs:AttachDisk | クラウドディスクを接続します。 |
ecs:DetachDisk | クラウドディスクを切断します。 |
VPC関連の権限
権限 (アクション) | 説明 |
vpc:DescribeVSwitches | 作成済みのvSwitchを照会します。 |
vpc:DescribeVpcs | 作成済みのVPCを照会します。 |
vpc:AllocateEipAddress | EIP を申請します。 |
vpc:AssociateEipAddress | EIP と、EIP と同じリージョンにあるインスタンスを関連付けます。 |
vpc:UnassociateEipAddress | クラウド リソースから EIP の関連付けを解除します。 |
vpc:ReleaseEipAddress | EIP をリリースします。 |
AliyunCCManagedVirtualNodeRole
デフォルトでは、仮想ノードの作成時に、ACS クラスタはこのロールを担って他の Alibaba Cloud サービスのリソースにアクセスします。
PVTZ関連のアクセス許可
権限 (アクション) | 説明 |
pvtz:AddZone | ゾーンを追加します。 |
pvtz:DeleteZone | ゾーンを削除します。 |
pvtz:DescribeZones | ゾーンを照会します。 |
pvtz:BindZoneVpc | ゾーンを VPC に関連付けます。 |
pvtz:AddZoneRecord | DNS レコードを追加します。 |
pvtz:DeleteZoneRecord | DNS レコードを削除します。 |
pvtz:DescribeZoneRecords | DNS レコードを照会します。 |
VPC 関連の権限
権限 (アクション) | 説明 |
vpc:DescribeVSwitches | 作成済みのvSwitchを照会します。 |
AliyunCSDefaultRole
このロールは、ACKのサービスリンクロールです。デフォルトでは、ACSはこのロールを引き受けて、Kubernetesクラスターの作成、削除、またはアップグレードを行います。
サービスリンクロールの詳細については、AliyunCSDefaultRoleを参照してください。