このドキュメントでは、Kubernetes クラスターへのアクセスに RAM ユーザーが必要とする RAM および RBAC の権限と、RAM ユーザーに必要な権限を付与する一般的な手順について説明します。

RAM の権限

Alibaba Cloud Container Service for Kubernetes (ACK) は、Kubernetes クラスターの管理インターフェイスへのアクセスを制御するために必要な RAM の権限を提供します。 RAM ユーザーを使用して Kubernetes クラスターをスケールインまたはスケールアウトする場合、またはクラスターにノードを追加する場合は、対応する RAM 権限をユーザーアカウントに付与する必要があります。 詳細は、「カスタム権限ポリシーの作成」をご参照ください。

RAM ユーザーに付与できる RAM 権限の詳細については、「カスタム権限ポリシーの作成」をご参照ください。

RBAC の権限

ACK は、クラスターの API サーバーを呼び出して Kubernetes クラスターのリソースにアクセスするために RAM ユーザーが必要とする RBAC の権限を提供します。 詳細については、『Authorization overview』をご参照ください。

以下の表に、Kubernetes クラスターにアクセスするために、RAM ユーザーに付与できる RBAC の権限をリストします。
表 1. RBAC の権限
ロール 権限
Admin すべての名前空間のリソースの読み書き権限、およびノード、ボリューム、名前空間、クォータの読み書き権限。
Operation すべての名前空間のリソースの読み書き権限、およびノード、ボリューム、名前空間、クォータの読み取り専用権限。
Developer すべての名前空間、または指定した名前空間のリソースの読み書き権限
Restricted User すべての名前空間、または指定した名前空間のリソースの読み取り専用権限。
Custom RAM ユーザーの権限は選択したクラスターロールに依存します。 RAM ユーザーに対して不適切な権限付与を避けるため、権限付与の前に選択したクラスターロールがリソース上で持つ権限を確認してください。

Kubernetes クラスターにアクセスするための権限を RAM ユーザーに付与する

  1. Kubernetes クラスターにアクセスするための RAM 権限を RAM ユーザーに付与します。
    次に、 必要な 2 種類の RAM 権限を示します。
    • 読み取り権限: RAM ユーザーがクラスター設定や kubeconfig などの基本的なクラスター情報を参照できるようにします。
    • 書き込み権限: RAM ユーザーに Kubernetes クラスターのスケールインまたはスケールアウト、クラスターのアップグレード、クラスターからのノードの削除、クラスターへのノードの追加、クラスターリソースの管理に対するその他の操作の実行を許可します。
    読み取り権限を含む RAM ポリシーファイルを次に示します。
    {
      "Statement": [
        {
          "Action": "cs:Get*",
          "Effect": "Allow",
          "Resource": [
            "acs:cs:*:*:cluster/<yourclusterID>"
          ]
        }
      ],
      "Version": "1"
    }

    特定の手順の詳細については、「カスタム権限ポリシーの作成」をご参照ください。

  2. Kubernetes リソースにアクセスするための RBAC 権限を RAM ユーザーに付与します。 特定の手順の詳細については、「RAM ユーザーへの RBAC 権限付与」をご参照ください。