Container Service for Kubernetes對其他雲端服務有關聯依賴關係。當您使用RAM使用者存取控制台時,需配置對應的雲端服務許可權後才能正常使用。本文介紹在Container Service管理主控台使用不同功能時所依賴的雲端服務,以及RAM使用者所需授與權限。
-
以下僅包含Container Service所依賴的其他雲端服務許可權,您還需為RAM使用者授予Container Service的系統許可權AliyunCSFullAccess或所需的自訂許可權來管理您的Container Service。關於授權相關操作,請參見使用RAM授予叢集及雲資源存取權限。
-
對於依賴的雲端服務,在非必要的情況下,僅需授予唯讀許可權,而不考慮建立許可權。例如,建立叢集時,如需選擇使用已有的VPC建立,只需授予唯讀VPC的許可權。
-
依賴的雲端服務許可權配置後,您需繼續使用RBAC為叢集內資源操作授權,RAM使用者才能管理叢集的內部資源。
|
功能 |
依賴服務 |
系統許可權 |
自訂許可權 Action |
自訂許可權鑒權Resource |
控制台可操作的許可權 |
|
申請更多配額 |
配額中心 |
AliyunQuotasFullAccess |
quotas:ListProductQuotas |
* |
查詢目標雲產品的配額列表。 |
|
quotas:ListProductQuotaDimensions |
* |
查詢目標雲產品支援的配額維度。 |
|||
|
quotas:ListProductDimensionGroups |
* |
查詢目標雲產品的維度組。 |
|||
|
quotas:ListDependentQuotas |
* |
查詢目標配額依賴的配額列表。 |
|||
|
quotas:CreateQuotaApplication |
* |
建立配額提升申請。 |
|||
|
建立叢集 |
費用與成本 |
AliyunBSSFullAccess / AliyunBSSReadOnlyAccess |
bssapi:GetPayAsYouGoPrice |
* |
擷取產品定價。 |
|
Virtual Private Cloud |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVSwitches |
* |
叢集配置 > 網路設定 > 專用網路> 使用已有 |
|
|
vpc:DescribeVpcs |
* |
叢集配置 > 網路設定 > 交換器 > 使用已有 |
|||
|
AliyunVPCFullAccess |
vpc:CreateVpc |
* |
叢集配置 > 網路設定 > 專用網路 > 自動建立 |
||
|
vpc:CreateVSwitch |
* |
叢集配置 > 網路設定 > 交換器 > 自動建立 |
|||
|
負載平衡 |
AliyunSLBFullAccess / AliyunSLBReadOnlyAccess |
slb:DescribeLoadBalancers |
* |
叢集配置 >網路設定 > API server 訪問 > 負載平衡來源 > 使用已有 |
|
|
slb:DescribeLoadBalancerListeners |
* |
||||
|
AliyunSLBFullAccess |
slb:CreateLoadBalancer |
* |
叢集配置 > 網路設定 > API server 訪問 >負載平衡來源 > 建立 |
||
|
Elastic Compute Service |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeSecurityGroups |
* |
叢集配置 > 網路設定 > 安全性群組 > 選擇已有安全性群組 |
|
|
ecs:DescribePrice |
* |
在節點池配置 > 執行個體和鏡像 > 執行個體規格地區,選擇執行個體時,查看執行個體的定價資訊。 |
|||
|
ecs:DescribeImages |
* |
在節點池配置 > 執行個體和鏡像 > 作業系統地區,選擇鏡像時,選擇自訂鏡像和雲市場鏡像的許可權。 |
|||
|
ecs:DescribeKeyPairs |
* |
節點池配置 > 執行個體和鏡像 > 登入方式> 設定密鑰 |
|||
|
ecs:DescribeDeploymentSets |
* |
Master 配置 > 部署集 > 選擇部署集 |
|||
|
AliyunECSFullAccess |
ecs:CreateSecurityGroup |
* |
在叢集配置 > 網路設定 > 安全性群組地區,自動建立普通安全性群組或企業級安全性群組的許可權。 |
||
|
Key Management Service |
AliyunKMSFullAccess / AliyunKMSReadOnlyAccess |
kms:ListKeys |
* |
叢集配置 > 進階選項(選填) > Secret 落盤加密 > 選擇 KMS 密鑰 |
|
|
Auto Scaling |
AliyunESSFullAccess / AliyunESSReadOnlyAccess |
ess:DescribePatternTypes |
* |
節點池配置 > 執行個體配置方式 > 指定執行個體屬性 |
|
|
雲資料庫 RDS |
AliyunRDSFullAccess / AliyunRDSReadOnlyAccess |
rds:DescribeDBInstances |
* |
節點池配置 > 進階選項(選填)> RDS 白名單 > 選擇 RDS 執行個體 |
|
|
應用型負載平衡 |
AliyunALBFullAccess / AliyunALBReadOnlyAccess |
alb:ListLoadBalancers |
* |
組件配置 > Ingress > ALB Ingress > 使用已有 |
|
|
AliyunALBFullAccess |
alb:CreateLoadBalancer |
* |
組件配置 > Ingress > ALB Ingress > 新建 |
||
|
微服務引擎 |
AliyunMSEFullAccess / AliyunMSEReadOnlyAccess |
mse:ListGateway |
* |
組件配置 > Ingress > MSE Ingress > 使用已有 |
|
|
AliyunMSEFullAccess |
mse:AddGateway |
* |
組件配置 > Ingress > MSE Ingress > 建立 |
||
|
Log ServiceSLS |
AliyunLogFullAccess / AliyunLogReadOnlyAccess |
log:ListProject |
* |
|
|
|
AliyunLogFullAccess |
log:CreateProject |
* |
|
||
|
叢集資訊 >基本資料 |
Virtual Private Cloud |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVSwitches |
* |
擷取交換器列表,供編輯控制面交換器使用。 |
|
vpc:DescribeEipAddresses |
* |
擷取EIP列表,供更換 API Server公網端點使用。 |
|||
|
Key Management Service |
AliyunKMSFullAccess / AliyunKMSReadOnlyAccess |
kms:ListKeys |
* |
開啟Secret落盤加密。 |
|
|
叢集資訊 >叢集監控 |
應用即時監控服務ARMS |
AliyunARMSFullAccess / AliyunARMSReadOnlyAccess |
arms:ListDashboards |
* |
擷取叢集的Grafana大盤的列表。 |
|
CloudShell 管理叢集 |
雲命令列CloudShell |
AliyunCloudShellFullAccess |
cloudshell:CreateEnvironment |
* |
建立CloudShell。 |
|
cloudshell:AttachStorage |
* |
||||
|
cloudshell:DetachStorage |
* |
||||
|
cloudshell:CreateSession |
* |
||||
|
cloudshell:DownloadFile |
* |
上傳下載檔案。 |
|||
|
cloudshell:UploadFile |
* |
||||
|
檔案儲存體服務NAS |
AliyunNASFullAccess |
nas:DescribeFileSystems |
* |
建立並綁定NAS檔案系統。 |
|
|
nas:CreateFileSystem |
* |
||||
|
nas:DescribeAccessRules |
* |
||||
|
節點池 > 建立節點池 |
Elastic Compute Service |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeImages |
* |
在選擇作業系統鏡像時,擷取自訂鏡像和雲市場鏡像的許可權。 |
|
ecs:DescribePrice |
* |
查詢Elastic Compute Service資源的最新價格。 |
|||
|
節點池 > 建立或編輯 |
Virtual Private Cloud |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVpcs |
* |
擷取VPC列表。 |
|
節點池 >配置登入方式 |
Elastic Compute Service |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeKeyPairs |
* |
擷取密鑰列表。 |
|
節點池 >添加已有節點 |
ecs:DescribeInstances |
* |
擷取可添加的執行個體。 |
||
|
ecs:DescribeSecurityGroups |
* |
擷取安全性群組。 |
|||
|
節點池 > 詳情 > 伸縮活動 |
Auto Scaling |
AliyunESSFullAccess / AliyunESSReadOnlyAccess |
ess:DescribeScalingActivities |
* |
查詢伸縮活動。 |
|
ess:DescribeScalingActivityDetail |
* |
查詢一個伸縮活動的詳情。 |
|||
|
ess:DescribeLifecycleActions |
* |
查詢伸縮活動對應的生命週期操作詳情。 |
|||
|
系統營運管理OOS |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oos:ListExecutions |
* |
查詢執行資訊。 |
|
|
工作負載 >使用鏡像建立 |
Container RegistryACR |
AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess |
cr:ListInstance |
* |
擷取ACR執行個體列表。 |
|
cr:ListInstanceDomain |
* |
擷取ACR執行個體資訊。 |
|||
|
cr:ListRepository |
* |
擷取ACR鏡像倉庫列表。 |
|||
|
cr:ListArtifactTag |
* |
擷取ACR鏡像Tag列表。 |
|||
|
應用 > Knative > 監控大盤 |
應用即時監控服務ARMS |
AliyunARMSFullAccess / AliyunARMSReadOnlyAccess |
arms:InstallAddon |
* |
安裝Addon資訊。 |
|
巡檢和診斷 > 叢集巡檢和故障診斷 |
存取控制RAM |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:GetRole |
acs:ram:*:*:role/aliyuncisdefaultrole |
故障診斷、叢集巡檢使用角色 AliyunCISDefaultRole。 |
|
巡檢和檢查 > 叢集檢查 > 日誌 |
Log ServiceSLS |
AliyunLogFullAccess |
log:GetDashboard |
* |
日誌擷取展示。 |
|
log:ListDashboard |
* |
||||
|
log:ListLogStores |
* |
||||
|
log:ListSavedSearch |
* |
||||
|
log:GetLogStoreLogs |
* |
||||
|
log:GetSavedSearch |
* |
查詢日誌事件資訊。 |
|||
|
log:GetIndex |
* |
查詢語句。 |
|||
|
log:UpdateIndex |
* |
||||
|
log:GetLogStore |
* |
||||
|
log:CreateDashboardSharing |
* |
建立免密分享。 |
|||
|
營運管理 > 日誌中心 > 控制面組件日誌 |
AliyunLogFullAccess / AliyunLogReadOnlyAccess |
log:ListProject |
* |
擷取日誌庫。 |
|
|
營運管理 > 日誌中心 > 網絡組件日誌 |
AliyunLogFullAccess |
log:GetProjectLogs |
* |
ALB Ingress日誌需要的許可權。 |
|
|
log:GetResourceRecord |
* |
||||
|
log:CreateResourceRecord |
* |
||||
|
log:UpdateResourceRecord |
* |
||||
|
安全管理 > 安全監控 |
Security Center |
AliyunYundunSASFullAccess |
yundun-sas:DescribeVersionConfig |
* |
查看已購買的Security Center執行個體的版本詳情。 |
|
yundun-sas:GetClusterSuspEventStatistics |
* |
擷取安全警示統計。 |
|||
|
yundun-sas:DescribeClusterVulStatistics |
* |
擷取漏洞風險統計。 |
|||
|
yundun-sas:GetClusterCheckItemWarningStatistics |
* |
擷取基準風險統計。 |
|||
|
yundun-sas:GetInterceptionSummary |
* |
擷取容器防火牆警示數統計。 |
|||
|
yundun-sas:ListGroups |
* |
擷取伺服器分組列表。 |
|||
|
yundun-sas:ListAccountsInResourceDirectory |
* |
安全警示相關許可權。 |
|||
|
yundun-sas:DescribeMonitorAccounts |
* |
||||
|
yundun-sas:DescribeSuspEvents |
* |
||||
|
yundun-sas:DescribeGroupedVul |
* |
漏洞風險相關許可權。 |
|||
|
yundun-sas:DescribeVulExportInfo |
* |
||||
|
yundun-sas:ExportVul |
* |
||||
|
yundun-aegis:DescribeVulNumStatistics |
* |
||||
|
yundun-sas:DescribeGroupedInstances |
* |
||||
|
yundun-sas:DescribeFixUsedCount |
* |
||||
|
yundun-sas:DescribeServiceLinkedRoleStatus |
* |
||||
|
yundun-sas:DescribeVulConfig |
* |
||||
|
yundun-sas:DescribeVulList |
* |
||||
|
yundun-sas:DescribeRiskType |
* |
基準風險相關許可權。 |
|||
|
yundun-sas:ListCheckItemWarningSummary |
* |
||||
|
yundun-sas:ListInterceptionHistory |
* |
||||
|
yundun-sas:ListClusterInterceptionConfig |
* |
||||
|
yundun-sas:GetAssetDetailByUuid |
* |
||||
|
yundun-sas:ListPluginForUuid |
* |
||||
|
yundun-sas:ValidateHcWarnings |
* |
||||
|
yundun-sas:DescribeCheckWarningMachines |
* |
||||
|
yundun-sas:IgnoreCheckItems |
* |
||||
|
yundun-sas:ListCheckItemWarningMachine |
* |
容器防火牆警示相關許可權。 |
|||
|
儲存 > 建立容器網路檔案系統 |
Object Storage Service |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oss:ListBucketsByRegion |
* |
選擇檔案系統類型為OSS時,選擇OSS Bucket所需要的許可權。 |
|
應用備份 |
oss:ListBucketsByRegion |
* |
建立備份倉庫 > 選擇OSS Bucket |
||
|
授權管理 > RAM 使用者 |
存取控制 |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:ListUserBasicInfos |
* |
查詢所有RAM使用者的基本資料。 |
|
授權管理 > RAM 角色 |
ram:ListRoles |
* |
查詢所有RAM角色。 |