本ページでは、認証を実行する際によくある質問について説明します。

Kubernetes クラスターでカスタム RAM ロールを定義するにはどうすればよいですか。

現在、Kubernetes クラスターでカスタム RAM ロールを定義することはできません。 ただし、クラスターのワーカーノードを作成すると、システムは自動的に RAM ロールを作成します。 RAM ポリシーを変更して、RAM ロールへ権限を付与できます。

  1. Container Service コンソール にログインします。
  2. 左側のナビゲーションウィンドウから、[クラスター] > [クラスター] を選択します。 [クラスター] ページで、該当のクラスターを選択し、クラスター名をクリックします。
    Clusters
  3. [基本情報] ページで、[クラスターリソース] の [ワーカー RAM ロール] をクリックします。
    クラスターの基本情報
  4. RAM コンソールにリダイレクトされます。 [RAM ロール] ページで、ポリシー名をクリックします。
    権限の追加
  5. [ポリシー] ページで、[ポリシードキュメントの編集] をクリックし、ポリシーに次の内容を入力します。 [OK] をクリックします。 この例では、クラスターのスケーリングおよび削除を行うための権限を RAM ロールに付与しています。 権限の詳細は、「カスタム権限ポリシーの作成」をご参照ください。
    {
                "Action": [
                  "cs:ScaleCluster",
                  "cs:DeleteCluster"
                ],
                "Resource": "*",
                "Effect":"Allow"
             }
    権限の変更

RAM ユーザーを使用して、他の RAM ユーザーの RBAC 認証を管理するにはどうすればよいですか?

RAM ユーザーが他の RAM ユーザーの RBAC 認証を管理できるようにするには、ターゲットとなるクラスターまたは名前空間で組み込みの管理者ロールまたは cluster-admin ロールを RAM ユーザーに付与する必要があります。 また、RAM ユーザーに次のアクセス権限を付与する必要があります。
  • 他の RAM ユーザーの照会
  • 他の RAM ユーザーへの RAM ポリシーのバインド
  • RBAC 権限の照会
  • RBAC 認証の管理
RAM ユーザーには、対象となるクラスターまたは名前空間に組み込みの管理者ロールまたは cluster-admin ロールが付与されている必要があります。
  1. RAM ユーザーに必要な権限を付与します。
    RAM コンソールにログインし、RAM ユーザーに必要な権限を付与します。 詳細については、「 カスタム権限ポリシーの作成」をご参照ください。
    サンプルポリシーは以下のとおりです。
    {
        "Statement": [{
                "Action": [
                    "ram:Get*",
                    "ram:List*",
                    "cs:GetUserPermissions",
                    "cs:GetSubUsers",
                    "cs:GrantPermission"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "ram:AttachPolicyToUser",
                    "ram:AttachPolicy"
                ],
                "Effect": "Allow",
                "Resource":  [
                    "acs:ram:*:*:policy/xxxxxx",
                    "acs:*:*:*:user/*"
                ]
            }
        ],
        "Version": "1"
    }
    							
    xxxxxx は、他の RAM ユーザーにバインドする RAM ポリシーと置き換えます。 たとえば、 * で置き換えた場合、その RAM ユーザーがすべての RAM ポリシーを他の RAM ユーザーにバインドする権限を持つことを示します。
  2. RAM ユーザーが、他の RAM ユーザーにアクセス権限を付与します。
    RAM ユーザーに上記のロールと権限を付与すると、ユーザーは指定されたポリシーを他の RAM ユーザーにバインドし、対象となるクラスターで他の RAM ユーザーの RBAC 認証を管理できます。 他の RAM ユーザーへの権限付与の方法については、「 RAM ユーザーへの RBAC 権限付与」をご参照ください。