Container Service for Kubernetes對其他雲端服務有關聯依賴關係。當您使用RAM使用者存取控制台時,需配置對應的雲端服務許可權後才能正常使用。本文介紹在Container Service管理主控台使用不同功能時所依賴的雲端服務,以及RAM使用者所需授與權限。
以下僅包含Container Service所依賴的其他雲端服務許可權,您還需為RAM使用者授予Container Service的系統許可權AliyunCSFullAccess或所需的自訂許可權來管理您的Container Service。關於授權相關操作,請參見使用RAM授予叢集及雲資源存取權限。
對於依賴的雲端服務,在非必要的情況下,僅需授予唯讀許可權,而不考慮建立許可權。例如,建立叢集時,如需選擇使用已有的VPC建立,只需授予唯讀VPC的許可權。
依賴的雲端服務許可權配置後,您需繼續使用RBAC授予叢集內資源操作許可權,RAM使用者才能管理叢集的內部資源。
功能 | 依賴服務 | 系統許可權 | 自訂許可權 Action | 自訂許可權鑒權Resource | 控制台可操作的許可權 |
申請更多配額 | 配額中心 | AliyunQuotasFullAccess | quotas:ListProductQuotas | * | 查詢目標雲產品的配額列表。 |
quotas:ListProductQuotaDimensions | * | 查詢目標雲產品支援的配額維度。 | |||
quotas:ListProductDimensionGroups | * | 查詢目標雲產品的維度組。 | |||
quotas:ListDependentQuotas | * | 查詢目標配額依賴的配額列表。 | |||
quotas:CreateQuotaApplication | * | 建立配額提升申請。 | |||
建立叢集 | 費用與成本 | AliyunBSSFullAccess / AliyunBSSReadOnlyAccess | bssapi:GetPayAsYouGoPrice | * | 擷取產品定價。 |
Virtual Private Cloud | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | 叢集配置 > 網路設定 > 專用網路 > 使用已有 | |
vpc:DescribeVpcs | * | 叢集配置 > 網路設定 > 交換器 > 使用已有 | |||
AliyunVPCFullAccess | vpc:CreateVpc | * | 叢集配置 > 網路設定 > 專用網路 > 自動建立 | ||
vpc:CreateVSwitch | * | 叢集配置 > 網路設定 > 交換器 > 自動建立 | |||
負載平衡 | AliyunSLBFullAccess / AliyunSLBReadOnlyAccess | slb:DescribeLoadBalancers | * | 叢集配置 > 網路設定 > API server 訪問 > 負載平衡來源 > 使用已有 | |
slb:DescribeLoadBalancerListeners | * | ||||
AliyunSLBFullAccess | slb:CreateLoadBalancer | * | 叢集配置 > 網路設定 > API server 訪問 > 負載平衡來源 > 建立 | ||
Elastic Compute Service | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeSecurityGroups | * | 叢集配置 > 網路設定 > 安全性群組 > 選擇已有安全性群組 | |
ecs:DescribePrice | * | 在節點池配置 > 執行個體和鏡像 > 執行個體規格地區,選擇執行個體時,查看執行個體的定價資訊。 | |||
ecs:DescribeImages | * | 在節點池配置 > 執行個體和鏡像 > 作業系統地區,選擇鏡像時,選擇自訂鏡像和雲市場鏡像的許可權。 | |||
ecs:DescribeKeyPairs | * | 節點池配置 > 執行個體和鏡像 > 登入方式 > 設定密鑰 | |||
ecs:DescribeDeploymentSets | * | Master 配置 > 部署集 > 選擇部署集 | |||
AliyunECSFullAccess | ecs:CreateSecurityGroup | * | 在叢集配置 > 網路設定 > 安全性群組地區,自動建立普通安全性群組或企業級安全性群組的許可權。 | ||
Key Management Service | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | 叢集配置 > 進階選項(選填) > Secret 落盤加密 > 選擇 KMS 密鑰 | |
Auto Scaling | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribePatternTypes | * | 節點池配置 > 執行個體配置方式 > 指定執行個體屬性 | |
雲資料庫 RDS | AliyunRDSFullAccess / AliyunRDSReadOnlyAccess | rds:DescribeDBInstances | * | 節點池配置 > 進階選項(選填) > RDS 白名單 > 選擇 RDS 執行個體 | |
應用型負載平衡 | AliyunALBFullAccess / AliyunALBReadOnlyAccess | alb:ListLoadBalancers | * | 組件配置 > Ingress > ALB Ingress > 使用已有 | |
AliyunALBFullAccess | alb:CreateLoadBalancer | * | 組件配置 > Ingress > ALB Ingress > 建立 | ||
微服務引擎 | AliyunMSEFullAccess / AliyunMSEReadOnlyAccess | mse:ListGateway | * | 組件配置 > Ingress > MSE Ingress > 使用已有 | |
AliyunMSEFullAccess | mse:AddGateway | * | 組件配置 > Ingress > MSE Ingress > 建立 | ||
Log ServiceSLS | AliyunLogFullAccess / AliyunLogReadOnlyAccess | log:ListProject | * |
| |
AliyunLogFullAccess | log:CreateProject | * |
| ||
叢集資訊 > 基本資料 | Virtual Private Cloud | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | 擷取交換器列表,供編輯控制面交換器使用。 |
vpc:DescribeEipAddresses | * | 擷取EIP列表,供更換 API Server公網端點使用。 | |||
Key Management Service | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | 開啟Secret落盤加密。 | |
叢集資訊 > 叢集監控 | 應用即時監控服務ARMS | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:ListDashboards | * | 擷取叢集的Grafana大盤的列表。 |
CloudShell 管理叢集 | 雲命令列CloudShell | AliyunCloudShellFullAccess | cloudshell:CreateEnvironment | * | 建立CloudShell。 |
cloudshell:AttachStorage | * | ||||
cloudshell:DetachStorage | * | ||||
cloudshell:CreateSession | * | ||||
cloudshell:DownloadFile | * | 上傳下載檔案。 | |||
cloudshell:UploadFile | * | ||||
檔案儲存體服務NAS | AliyunNASFullAccess | nas:DescribeFileSystems | * | 建立並綁定NAS檔案系統。 | |
nas:CreateFileSystem | * | ||||
nas:DescribeAccessRules | * | ||||
節點池 > 建立節點池 | Elastic Compute Service | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeImages | * | 在選擇作業系統鏡像時,擷取自訂鏡像和雲市場鏡像的許可權。 |
ecs:DescribePrice | * | 查詢Elastic Compute Service資源的最新價格。 | |||
節點池 > 建立或編輯 | Virtual Private Cloud | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVpcs | * | 擷取VPC列表。 |
節點池 > 配置登入方式 | Elastic Compute Service | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeKeyPairs | * | 擷取密鑰列表。 |
節點池 > 添加已有節點 | ecs:DescribeInstances | * | 擷取可添加的執行個體。 | ||
ecs:DescribeSecurityGroups | * | 擷取安全性群組。 | |||
節點池 > 詳情 > 伸縮活動 | Auto Scaling | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribeScalingActivities | * | 查詢伸縮活動。 |
ess:DescribeScalingActivityDetail | * | 查詢一個伸縮活動的詳情。 | |||
ess:DescribeLifecycleActions | * | 查詢伸縮活動對應的生命週期操作詳情。 | |||
系統營運管理OOS | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oos:ListExecutions | * | 查詢執行資訊。 | |
工作負載 > 使用鏡像建立 | Container RegistryACR | AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess | cr:ListInstance | * | 擷取ACR執行個體列表。 |
cr:ListInstanceDomain | * | 擷取ACR執行個體資訊。 | |||
cr:ListRepository | * | 擷取ACR鏡像倉庫列表。 | |||
cr:ListArtifactTag | * | 擷取ACR鏡像Tag列表。 | |||
應用 > Knative > 監控大盤 | 應用即時監控服務ARMS | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:InstallAddon | * | 安裝Addon資訊。 |
巡檢和診斷 > 叢集巡檢和故障診斷 | 存取控制RAM | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:GetRole | acs:ram:*:*:role/aliyuncisdefaultrole | 故障診斷、叢集巡檢使用角色 AliyunCISDefaultRole。 |
巡檢和檢查 > 叢集檢查 > 日誌 | Log ServiceSLS | AliyunLogFullAccess | log:GetDashboard | * | 日誌擷取展示。 |
log:ListDashboard | * | ||||
log:ListLogStores | * | ||||
log:ListSavedSearch | * | ||||
log:GetLogStoreLogs | * | ||||
log:GetSavedSearch | * | 查詢日誌事件資訊。 | |||
log:GetIndex | * | 查詢語句。 | |||
log:UpdateIndex | * | ||||
log:GetLogStore | * | ||||
log:CreateDashboardSharing | * | 建立免密分享。 | |||
營運管理 > 日誌中心 > 控制面組件日誌 | AliyunLogFullAccess / AliyunLogReadOnlyAccess | log:ListProject | * | 擷取日誌庫。 | |
營運管理 > 日誌中心 > 網路組件日誌 | AliyunLogFullAccess | log:GetProjectLogs | * | ALB Ingress日誌需要的許可權。 | |
log:GetResourceRecord | * | ||||
log:CreateResourceRecord | * | ||||
log:UpdateResourceRecord | * | ||||
安全管理 > 安全監控 | Security Center | AliyunYundunSASFullAccess | yundun-sas:DescribeVersionConfig | * | 查看已購買的Security Center執行個體的版本詳情。 |
yundun-sas:GetClusterSuspEventStatistics | * | 擷取安全警示統計。 | |||
yundun-sas:DescribeClusterVulStatistics | * | 擷取漏洞風險統計。 | |||
yundun-sas:GetClusterCheckItemWarningStatistics | * | 擷取基準風險統計。 | |||
yundun-sas:GetInterceptionSummary | * | 擷取容器防火牆警示數統計。 | |||
yundun-sas:ListGroups | * | 擷取伺服器分組列表。 | |||
yundun-sas:ListAccountsInResourceDirectory | * | 安全警示相關許可權。 | |||
yundun-sas:DescribeMonitorAccounts | * | ||||
yundun-sas:DescribeSuspEvents | * | ||||
yundun-sas:DescribeGroupedVul | * | 漏洞風險相關許可權。 | |||
yundun-sas:DescribeVulExportInfo | * | ||||
yundun-sas:ExportVul | * | ||||
yundun-aegis:DescribeVulNumStatistics | * | ||||
yundun-sas:DescribeGroupedInstances | * | ||||
yundun-sas:DescribeFixUsedCount | * | ||||
yundun-sas:DescribeServiceLinkedRoleStatus | * | ||||
yundun-sas:DescribeVulConfig | * | ||||
yundun-sas:DescribeVulList | * | ||||
yundun-sas:DescribeRiskType | * | 基準風險相關許可權。 | |||
yundun-sas:ListCheckItemWarningSummary | * | ||||
yundun-sas:ListInterceptionHistory | * | ||||
yundun-sas:ListClusterInterceptionConfig | * | ||||
yundun-sas:GetAssetDetailByUuid | * | ||||
yundun-sas:ListPluginForUuid | * | ||||
yundun-sas:ValidateHcWarnings | * | ||||
yundun-sas:DescribeCheckWarningMachines | * | ||||
yundun-sas:IgnoreCheckItems | * | ||||
yundun-sas:ListCheckItemWarningMachine | * | 容器防火牆警示相關許可權。 | |||
儲存 > 建立容器網路檔案系統 | Object Storage Service | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oss:ListBucketsByRegion | * | 選擇檔案系統類型為OSS時,選擇OSS Bucket所需要的許可權。 |
應用備份 | oss:ListBucketsByRegion | * | 建立備份倉庫 > 選擇OSS Bucket | ||
授權管理 > RAM 使用者 | 存取控制 | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:ListUserBasicInfos | * | 查詢所有RAM使用者的基本資料。 |
授權管理 > RAM 角色 | ram:ListRoles | * | 查詢所有RAM角色。 |