ACK的預設授權服務角色和可選授權服務角色 - Container Service for Kubernetes

開通Container Service for Kubernetes時，您需要為服務帳號授予系統服務角色。只有正確授予該角色許可權後，Container Service才能正常地調用相關服務（ECS、OSS、NAS、SLB等）、建立叢集以及儲存日誌等。本文介紹Container ServiceACK服務角色包含的許可權。

一鍵授權服務角色

首次使用Container Service Kubernetes 版時，通過存取控制快速授權擷取的服務角色說明如下所示。

角色	角色說明	角色對應的權限原則詳情
AliyunCSDefaultRole	Container Service Kubernetes 版在管控操作中使用該角色訪問您在ECS、VPC、SLB、ROS、ESS等服務中的資源。	AliyunCSDefaultRolePolicy
AliyunCSManagedKubernetesRole	ACK託管叢集和ACK Edge叢集使用該角色訪問您在ECS、VPC、SLB、ACR等服務中的資源。	AliyunCSManagedKubernetesRolePolicy
AliyunCSServerlessKubernetesRole	ACK Edge叢集和ACK Serverless叢集使用該角色來訪問您在ECS、VPC、SLB、Private Zone等服務中的資源。	AliyunCSServerlessKubernetesRolePolicy
AliyunCSKubernetesAuditRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的審計功能組件使用該角色來訪問您在SLS服務中的資源。	AliyunCSKubernetesAuditRolePolicy
AliyunCSManagedNetworkRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的網路組件使用該角色訪問您在ECS、VPC服務中的資源。	AliyunCSManagedNetworkRolePolicy
AliyunCSManagedCsiRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的儲存群組件使用該角色訪問您在ECS、NAS、OSS等服務中的資源。	AliyunCSManagedCsiRolePolicy
AliyunCSManagedCmsRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的監控組件使用該角色訪問您在CMS、SLS服務中的資源。	AliyunCSManagedCmsRolePolicy
AliyunCSManagedLogRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的日誌組件使用該角色訪問您在SLS服務中的資源。	AliyunCSManagedLogRolePolicy
AliyunCSManagedArmsRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的應用即時監控組件使用該角色訪問您在ARMS服務中的資源。	AliyunCSManagedArmsRolePolicy
AliyunCISDefaultRole	ACK容器智能營運平台將使用該角色訪問您在ECS、VPC、SLB等服務中的資源，為您提供診斷和巡檢等服務。	AliyunCISDefaultRolePolicy
AliyunCSManagedCsiProvisionerRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的儲存群組件（csi-provisioner託管組件）使用該角色訪問您在ECS、NAS、OSS、服務中的資源。	AliyunCSManagedCsiProvisionerRolePolicy
AliyunCSManagedCsiPluginRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集中的CSI儲存群組件（資料面）使用該角色訪問您在ECS等服務中的資源。	AliyunCSManagedCsiPluginRolePolicy

可選授權服務角色

您在使用Container Service Kubernetes 版，使用到如下相關服務角色時，需要由阿里雲帳號或擁有管理員權限的RAM使用者進行授權。

角色	角色說明	角色對應的權限原則詳情
AliyunCSManagedAcrRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的免密組件鏡像拉取使用該角色訪問您在ACRContainer Registry中的資源。	AliyunCSManagedAcrRolePolicy
AliyunCSManagedNlcRole	ACK託管叢集和ACK Edge叢集的節點生命週期控制器使用該角色訪問您的ECS和ACK節點池資源。	AliyunCSManagedNlcRolePolicy
AliyunCSManagedAutoScalerRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的Auto Scaling組件使用該角色訪問您在ESS和ECS服務中的資源。	AliyunCSManagedAutoScalerRolePolicy
AliyunCSManagedSecurityRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的落盤加密和憑據管理組件使用該角色訪問您在KMS服務中的資源。	AliyunCSManagedSecurityRolePolicy
AliyunCSManagedCostRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的成本分析組件使用該角色訪問您在賬單管理API、ECS和ECI服務中的資源。	AliyunCSManagedCostRolePolicy
AliyunCSManagedNimitzRole	ACK靈駿叢集的網路組件使用該角色訪問您在智能計算靈駿服務中的資源。	AliyunCSManagedNimitzRolePolicy
AliyunCSManagedBackupRestoreRole	ACK託管叢集、ACK Edge叢集和ACK Serverless叢集的備份中心服務元件使用該角色訪問您在Cloud Backup服務和OSS服務中的資源。	AliyunCSManagedBackupRestoreRolePolicy
AliyunCSManagedEdgeRole	ACK Edge叢集的管控組件使用該角色訪問您在Smart Access Gateway、VPC和雲企業網CEN服務中的資源。	AliyunCSManagedEdgeRolePolicy
AliyunOOSLifecycleHook4CSRole	系統營運管理OOS使用該角色訪問您在Container Service Kubernetes 版、ECS、PolarDB等服務中的資源。	展開查看該角色的權限原則詳情 `{ "Version": "1", "Statement": [ { "Action": [ "cs:DeleteClusterNodes", "cs:DescribeClusterNodes", "cs:DescribeTaskInfo" ], "Resource": [ "" ], "Effect": "Allow" }, { "Action": [ "ess:CompleteLifecycleAction" ], "Resource": [ "" ], "Effect": "Allow" }, { "Action": [ "polardb:DescribeDBClusterAccessWhitelist", "polardb:ModifyDBClusterAccessWhitelist" ], "Resource": [ "" ], "Effect": "Allow" }, { "Action": [ "ecs:DescribeInstances" ], "Resource": [ "" ], "Effect": "Allow" } ] }`