開通Container Compute Service (ACS)時,您需要為服務帳號授予系統預設角色,若且唯若該角色被正確授予後,容器計算服務才能正常地調用相關雲資源(VPC、ENI、NAS、SLB等),建立叢集以及儲存日誌等。本文介紹容器計算服務ACS預設角色包含的許可權。
角色許可權內容
容器計算服務ACS包含的預設角色說明如下表所示。
角色 | 角色說明 |
AliyunServiceRoleForAcc | 該角色為服務關聯角色,ACS在叢集管控操作中使用該角色訪問您在ACK、ECS、VPC、SLB、ARMS等服務的資源。 |
AliyunCCCSIPluginRole | ACS叢集預設使用該角色訪問您在雲端硬碟、NAS等儲存服務的資源。 |
AliyunCCCCMServiceRole | ACS叢集預設使用該角色來訪問您在SLB、ALB等負載平衡服務的資源。 |
AliyunCCNECRole | ACS叢集預設使用該角色來訪問VPC、ECS等網路相關服務的資源,建立並使用EIP。 |
AliyunCCKubernetesAuditRole | ACS叢集預設使用該角色訪問SLSLog Service的資源,採集並展示Kubernetes審計日誌。 |
AliyunCCManagedLogRole | ACS叢集預設使用該角色訪問SLSLog Service的資源,採集並展示ACS 容器日誌。 |
AliyunCCManagedArmsRole | ACS叢集預設使用該角色訪問Arms監控服務的資源,採集並展示ACS 容器各項資源指標,以及應用效能指標監控。 |
AliyunCCCISDefaultRole | ACS叢集預設使用該角色訪問ECS、ACK、VPC、SLB等雲端服務的資源,定期檢查K8s及組件等健康狀態。 |
AliyunCCManagedAcrRole | ACS叢集預設使用該角色訪問ACRContainer Registry擷取臨時帳號密碼,用於啟動ACS Pod執行個體。 |
AliyunCCForResourceProviderRole | ACS叢集預設使用該角色在建立Pod時訪問依賴雲產品資源。 |
AliyunCCManagedVirtualNodeRole | ACS叢集預設使用該角色在建立虛擬節點時訪問依賴雲產品資源。 |
AliyunCCManagedACSBrokerRole | ACS叢集預設使用該角色在擷取Pod營運資訊時訪問依賴雲產品資源。 |
AliyunCCManagedMseRole | ACS叢集預設使用該角色訪問MSE服務的資源,建立並使用MSE網關。 |
AliyunCSManagedKubernetesRole | ACS叢集中的控制面核心組件使用該角色訪問您在ECS、SLB、ALB、CMS、SLS、Security Center等服務中的資源介面。 |
AliyunCSDefaultRole | ACS預設使用該角色對Kubernetes叢集進行建立、刪除、升級等操作。 |
AliyunServiceRoleForAcc
該角色為服務關聯角色,ACS在叢集管控操作中使用該角色訪問您在ACK、ECS、VPC、SLB、ARMS等服務的資源。
ECS相關許可權
許可權名稱(Action) | 說明 |
ecs:CreateNetworkInterface | 建立一個彈性網卡(ENI)。 |
ecs:DescribeNetworkInterfaces | 查看彈性網卡(ENI)列表。 |
ecs:AttachNetworkInterface | 附加一個彈性網卡(ENI)到一台Virtual Private Cloud類型ECS執行個體上。 |
ecs:DetachNetworkInterface | 從一台ECS執行個體上分離一個彈性網卡(ENI)。 |
ecs:DeleteNetworkInterface | 刪除一個彈性網卡(ENI)。 |
ecs:DescribeInstanceAttribute | 查詢一台或多台ECS執行個體部分資訊。 |
ecs:AssignPrivateIpAddresses | 為一塊彈性網卡分配一個或多個輔助私人IP地址。 |
ecs:UnassignPrivateIpAddresses | 從一塊彈性網卡刪除一個或多個輔助私人IP地址。 |
ecs:DescribeInstances | 查詢一台或多台ECS執行個體的詳細資料。 |
ecs:DescribeInstanceTypes | 查詢Elastic Compute Service提供的所有執行個體規格的資訊,也可以查詢指定執行個體規格的資訊。 |
ecs:AssignIpv6Addresses | 為一塊彈性網卡分配一個或多個IPv6 IP地址。 |
ecs:UnassignIpv6Addresses | 為一塊彈性網卡刪除一個或多個IPv6 IP地址。 |
ecs:ModifyNetworkInterfaceAttribute | 修改彈性網卡(ENI)資訊。 |
ecs:CreateNetworkInterfacePermission | 建立彈性網卡(ENI)許可權。 |
ecs:DeleteNetworkInterfacePermission | 刪除彈性網卡(ENI)許可權。 |
ecs:DescribeNetworkInterfacePermissions | 查詢彈性網卡(ENI)許可權。 |
ecs:CreateSecurityGroup | 建立一個安全性群組。 |
ecs:ModifySecurityGroupEgressRule | 修改安全性群組出方向規則。 |
ecs:ModifySecurityGroupPolicy | 修改普通安全性群組內網連通策略。 |
ecs:ModifySecurityGroupRule | 修改安全性群組入方向規則。 |
ecs:DescribeSecurityGroups | 查詢您建立的安全性群組的基本資料。 |
ecs:RevokeSecurityGroup | 撤銷安全性群組規則。 |
ecs:RevokeSecurityGroupEgress | 刪除一條安全性群組出方向規則,撤銷安全性群組出方向的存取權限。 |
ecs:DeleteSecurityGroup | 刪除一個安全性群組。 |
ecs:DescribeSecurityGroupAttribute | 查詢一個安全性群組的規則。 |
ecs:AuthorizeSecurityGroup | 設定安全性群組入規則。 |
ecs:AuthorizeSecurityGroupEgress | 設定安全性群組出規則。 |
VPC相關許可權
許可權名稱(Action) | 說明 |
vpc:DescribeVSwitches | 查詢已建立的交換器。 |
vpc:DescribeVpcs | 查詢已建立的VPC。 |
vpc:DescribeVpcAttribute | 查詢指定VPC的配置資訊。 |
vpc:DescribeVSwitchAttributes | 查詢指定vSwitch的配置資訊。 |
ACK相關許可權
許可權名稱(Action) | 說明 |
cs:CreateCluster | 建立Kubernetes叢集。 |
cs:CreateClusterByResourcesGroup | 建立Kubernetes叢集歸屬於一個資源群組。 |
cs:DeleteCluster | 刪除Kubernetes叢集。 |
cs:DescribeClusterDetail | 查詢一個Kubernetes叢集的詳情資訊。 |
cs:DescribeClusterUserKubeconfig | 查詢一個Kubernetes叢集一個使用者的Kubeconfig。 |
cs:DescribeClusters | 查詢Kubernetes叢集列表。 |
cs:DescribeClustersV1 | 查詢Kubernetes叢集列表。 |
cs:DescribeEvents | 查詢例外狀況事件列表。 |
cs:DescribeTaskInfo | 根據任務ID,查詢該任務執行詳情。 |
cs:GetClusters | 查詢Kubernetes叢集列表。 |
cs:ListTagResources | 根據叢集ID,查詢指定叢集資源的標籤。 |
cs:ModifyCluster | 修改叢集資訊。 |
cs:ModifyClusterTags | 修改叢集標籤。 |
cs:TagResources | 為指定的叢集綁定特定標籤。 |
cs:UntagResources | 為指定的叢集解除綁定特定標籤。 |
ARMS相關
許可權名稱(Action) | 說明 |
arms:InstallManagedPrometheus | 建立託管的Prometheus。 |
arms:UnInstallManagedPrometheus | 刪除託管的指定Prometheus執行個體。 |
arms:GetManagedPrometheusStatus | 查詢託管的指定Prometheus執行個體狀態。 |
SLB相關
許可權名稱(Action) | 說明 |
slb:AddBackendServers | 添加後端伺服器。 |
slb:RemoveBackendServers | 刪除後端伺服器。 |
slb:DescribeLoadBalancerAttribute | 查詢指定Server Load Balancer執行個體的詳細資料。 |
slb:SetLoadBalancerTCPListenerAttribute | 修改TCP監聽的配置。 |
slb:DescribeLoadBalancers | 查詢已建立的Server Load Balancer執行個體。 |
AliyunCCCSIPluginRole
ACS叢集預設使用該角色訪問您在雲端硬碟、NAS等儲存服務的資源。
EBS相關許可權
許可權名稱(Action) | 說明 |
ebs:CreateContainerDisk | 建立一個雲端硬碟。 |
ebs:DescribeContainerDisks | 查詢雲端硬碟列表。 |
ebs:GetContainerDisk | 查詢單個雲端硬碟。 |
ebs:DeleteContainerDisk | 刪除一個雲端硬碟。 |
ECS相關許可權
許可權名稱(Action) | 說明 |
ecs:AttachDisk | 掛載一個雲端硬碟。 |
ecs:DetachDisk | 卸載一個雲端硬碟。 |
ecs:DescribeDisks | 查詢雲端硬碟列表。 |
ecs:CreateDisk | 建立一個雲端硬碟。 |
ecs:DeleteDisk | 刪除一個雲端硬碟。 |
ecs:AddTags | 為一個雲端硬碟添加標籤。 |
ecs:RemoveTags | 為一個雲端硬碟移除標籤。 |
ecs:DescribeTags | 查詢可供使用的標籤。 |
ecs:DescribeInstances | 查詢一台或多台ECS執行個體的詳細資料。 |
NAS相關許可權
許可權名稱(Action) | 說明 |
nas:CreateFileSystem | 建立一個檔案系統。 |
nas:CreateMountTarget | 建立檔案系統的掛載點。 |
nas:DeleteFileSystem | 刪除一個檔案系統。 |
nas:DeleteMountTarget | 刪除檔案系統的掛載點。 |
nas:DescribeFileSystems | 查詢檔案系統資訊。 |
nas:DescribeMountTargets | 查詢檔案系統的掛載點。 |
nas:ModifyFileSystem | 修改檔案系統的描述資訊。 |
nas:ModifyMountTarget | 修改檔案系統掛載點的描述資訊。 |
nas:AddTags | 為檔案系統添加標籤。 |
nas:DescribeTags | 查詢可供使用的標籤。 |
nas:RemoveTags | 為檔案系統刪除標籤。 |
nas:EnableRecycleBin | 開啟資源回收筒功能。 |
nas:GetRecycleBinAttribute | 查詢指定通用型NAS檔案系統的資源回收筒配置。 |
nas:SetDirQuota | 設定檔案系統的目錄配額。 |
nas:DescribeDirQuotas | 擷取檔案系統每個目錄配額的詳細資料。 |
AliyunCCCCMServiceRole
ACS叢集預設使用該角色通過ACS CCM外掛程式建立並使用SLB、ALB等負載平衡產品。
SLB相關許可權
許可權名稱(Action) | 說明 |
slb:AddBackendServers | 添加後端伺服器。 |
slb:AddTags | 為指定的Server Load Balancer執行個體添加標籤。 |
slb:AddVServerGroupBackendServers | 添加後端伺服器。 |
slb:CreateLoadBalancer | 建立Server Load Balancer執行個體。 |
slb:CreateLoadBalancerHTTPListener | 為Server Load Balancer執行個體建立基於HTTP協議的監聽。 |
slb:CreateLoadBalancerHTTPSListener | 為Server Load Balancer執行個體建立基於HTTPS協議的監聽。 |
slb:CreateLoadBalancerTCPListener | 為Server Load Balancer執行個體建立基於TCP協議的監聽規則。 |
slb:CreateLoadBalancerUDPListener | 為Server Load Balancer執行個體建立基於UDP協議的監聽規則。 |
slb:CreateVServerGroup | 添加後端伺服器組並向指定的後端伺服器組中添加後端伺服器。 |
slb:DeleteLoadBalancer | 刪除後付費的Server Load Balancer執行個體。 |
slb:DeleteLoadBalancerListener | 刪除Server Load Balancer執行個體監聽規則。 |
slb:DeleteVServerGroup | 刪除伺服器組。 |
slb:DescribeLoadBalancerAttribute | 查詢指定Server Load Balancer執行個體的詳細資料。 |
slb:DescribeLoadBalancerHTTPListenerAttribute | 查詢HTTP監聽配置。 |
slb:DescribeLoadBalancerHTTPSListenerAttribute | 查詢HTTPS監聽配置。 |
slb:DescribeLoadBalancerListeners | 查詢負載平衡監聽列表詳情。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查詢TCP監聽配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查詢UDP監聽配置。 |
slb:DescribeLoadBalancers | 查詢已建立的Server Load Balancer執行個體。 |
slb:DescribeTags | 查詢可供使用的標籤。 |
slb:DescribeVServerGroupAttribute | 查詢服務器組的詳細資料。 |
slb:DescribeVServerGroups | 查詢服務器組列表。 |
slb:ModifyLoadBalancerInstanceSpec | 修改負載平衡的執行個體規格。 |
slb:ModifyLoadBalancerInternetSpec | 修改公網Server Load Balancer執行個體的計費方式。 |
slb:ModifyVServerGroupBackendServers | 替換伺服器組中的後端伺服器。 |
slb:RemoveBackendServers | 移除後端伺服器。 |
slb:RemoveTags | 解除綁定指定Server Load Balancer執行個體下的標籤。 |
slb:RemoveVServerGroupBackendServers | 從指定的後端伺服器組中移除後端伺服器。 |
slb:SetLoadBalancerDeleteProtection | 設定執行個體刪除保護狀態。 |
slb:SetLoadBalancerHTTPListenerAttribute | 修改HTTP協議監聽的配置。 |
slb:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS協議監聽的配置。 |
slb:SetLoadBalancerModificationProtection | 設定Server Load Balancer執行個體修改保護狀態。 |
slb:SetLoadBalancerName | 修改Server Load Balancer執行個體的名稱。 |
slb:SetLoadBalancerTCPListenerAttribute | 修改TCP協議監聽的配置。 |
slb:SetLoadBalancerUDPListenerAttribute | 修改UDP協議監聽的配置。 |
slb:SetVServerGroupAttribute | 修改虛擬伺服器組的配置。 |
slb:StartLoadBalancerListener | 啟動監聽。 |
slb:StopLoadBalancerListener | 停止監聽。 |
ALB相關許可權
許可權名稱(Action) | 說明 |
alb:AddServersToServerGroup | 向伺服器組中添加後端伺服器。 |
alb:AssociateAdditionalCertificatesWithListener | 將擴充認證關聯到監聽。 |
alb:CreateListener | 在指定地區建立HTTP、HTTPS或QUIC監聽。 |
alb:CreateLoadBalancer | 在指定地區建立應用型Server Load Balancer執行個體。 |
alb:CreateRule | 在指定監聽下建立轉寄規則。 |
alb:CreateRules | 建立多條轉寄規則。 |
alb:CreateServerGroup | 在指定地區建立伺服器組。 |
alb:DeleteListener | 刪除指定的監聽。 |
alb:DeleteLoadBalancer | 刪除指定的Server Load Balancer執行個體。 |
alb:DeleteRule | 刪除指定的轉寄規則。 |
alb:DeleteRules | 大量刪除同一監聽下的轉寄規則。 |
alb:DeleteServerGroup | 刪除指定的伺服器組。 |
alb:DescribeZones | 查詢指定地區的可用性區域。 |
alb:DisableDeletionProtection | 關閉指定Server Load Balancer執行個體的刪除保護。 |
alb:DisableLoadBalancerAccessLog | 關閉指定Server Load Balancer執行個體的訪問日誌。 |
alb:DissociateAdditionalCertificatesFromListener | 將擴充認證從監聽上解除關聯。 |
alb:EnableDeletionProtection | 開啟指定資源的刪除保護。 |
alb:EnableLoadBalancerAccessLog | 開啟指定Server Load Balancer執行個體的訪問日誌。 |
alb:GetListenerAttribute | 查詢監聽的詳細資料。 |
alb:GetLoadBalancerAttribute | 查詢指定Server Load Balancer執行個體的詳細資料。 |
alb:ListListenerCertificates | 查詢指定監聽關聯的認證,包含擴充認證和預設認證。 |
alb:ListListeners | 查詢指定地區的監聽。 |
alb:ListLoadBalancers | 查詢指定地區的負載平衡。 |
alb:ListRules | 查詢指定地區的轉寄規則。 |
alb:ListServerGroupServers | 查詢服務器組中的伺服器。 |
alb:ListServerGroups | 查詢指定地區的伺服器組。 |
alb:RemoveServersFromServerGroup | 從伺服器組中移除後端伺服器。 |
alb:ReplaceServersInServerGroup | 替換後端伺服器組中的後端伺服器。 |
alb:TagResources | 給指定資源添加標籤。 |
alb:UnTagResources | 刪除資源上配置的標籤。 |
alb:UpdateListenerAttribute | 更新監聽的配置,如名稱、預設動作等。 |
alb:UpdateLoadBalancerAttribute | 更新Server Load Balancer執行個體屬性,如名稱、修改保護等。 |
alb:UpdateLoadBalancerEdition | 變更當前負載平衡版本。 |
alb:UpdateRuleAttribute | 更新轉寄規則屬性,如條件、動作、名稱等。 |
alb:UpdateRulesAttribute | 批次更新轉寄規則屬性。 |
alb:UpdateServerGroupAttribute | 補救伺服器組的配置,例如健全狀態檢查、會話保持、名稱、調度演算法和協議等。 |
alb:DescribeZones | 查詢指定地區的可用性區域。 |
alb:CreateAcl | 在指定地區建立存取控制。 |
alb:DeleteAcl | 刪除指定的存取控制。 |
alb:ListAcls | 查詢某一個地區的存取控制清單。 |
alb:AddEntriesToAcl | 向存取控制策略組中添加IP條目。 |
alb:AssociateAclsWithListener | 將存取控制關聯到監聽。 |
alb:ListAclEntries | 查詢指定存取控制的條目。 |
alb:RemoveEntriesFromAcl | 從存取控制中移除條目。 |
alb:DissociateAclsFromListener | 將存取控制從監聽上解除關聯。 |
alb:EnableLoadBalancerIpv6Internet | 將雙棧應用型Server Load Balancer執行個體的IPv6私網變更為IPv6公網。 |
alb:DisableLoadBalancerIpv6Internet | 將雙棧應用型Server Load Balancer執行個體的IPv6公網變更為IPv6私網。 |
ECS相關許可權
許可權名稱(Action) | 說明 |
ecs:DescribeNetworkInterfaces | 查詢一個或多個彈性網卡(ENI)的詳細資料。 |
VPC相關許可權
許可權名稱(Action) | 說明 |
vpc:DescribeVSwitches | 查詢可組網的資訊,內網按vSwitch進行組網。 |
vpc:DescribeVpcs | 查詢已建立的VPC。 |
RAM相關許可權
許可權名稱(Action) | 說明 |
ram:CreateServiceLinkedRole | 建立新服務關聯角色。 |
AliyunCCNECRole
ACS叢集預設使用該角色來訪問VPC、ECS等網路相關服務的資源,建立並使用EIP。
VPC相關許可權
許可權名稱(Action) | 說明 |
vpc:DescribeVSwitches | 查詢可組網的資訊,內網按vSwitch進行組網。 |
vpc:AllocateEipAddress | 申請Elastic IP Address(Elastic IP Address,簡稱EIP)。 |
vpc:AllocateEipAddressPro | 申請指定的Elastic IP Address(Elastic IP Address,簡稱EIP)。 |
vpc:DescribeEipAddresses | 查詢指定地區已建立的EIP。 |
vpc:AssociateEipAddress | 將Elastic IP Address(EIP)綁定到同地區的雲產品執行個體上。 |
vpc:UnassociateEipAddress | 將Elastic IP Address(EIP)從綁定的雲產品上解除綁定。 |
vpc:ReleaseEipAddress | 釋放指定的Elastic IP Address(EIP)。 |
vpc:ModifyEipAddressAttribute | 修改指定EIP的名稱、描述資訊和頻寬峰值。 |
vpc:AddCommonBandwidthPackageIp | 添加EIP到共用頻寬中。 |
vpc:RemoveCommonBandwidthPackageIp | 移除共用頻寬執行個體中的EIP。 |
vpc:TagResources | 為指定的資源統一建立並綁定標籤。 |
ECS相關許可權
許可權名稱(Action) | 說明 |
ecs:DescribeNetworkInterfaces | 查詢一個或多個彈性網卡(ENI)的詳細資料。 |
AliyunCCKubernetesAuditRole
ACS叢集預設使用該角色訪問SLSLog Service的資源,採集並展示K8s審計日誌。
許可權名稱(Action) | 說明 |
log:CreateProject | 建立一個Project。 |
log:GetProject | 根據Project名稱查詢Project。 |
log:DeleteProject | 刪除一個指定的Project。 |
log:CreateLogStore | 在Project下建立Logstore。 |
log:GetLogStore | 查看Logstore屬性。 |
log:UpdateLogStore | 更新Logstore的屬性。 |
log:DeleteLogStore | 刪除Logstore。 |
log:CreateConfig | 建立日誌採集配置。 |
log:UpdateConfig | 更新配置內容。 |
log:GetConfig | 擷取採集配置的詳細資料。 |
log:DeleteConfig | 刪除指定的日誌採集配置。 |
log:CreateMachineGroup | 根據需求建立一組機器,用以日誌收集下發配置。 |
log:UpdateMachineGroup | 更新機器組資訊。 |
log:GetMachineGroup | 查看具體的MachineGroup資訊。 |
log:DeleteMachineGroup | 刪除機器組。 |
log:ApplyConfigToGroup | 將配置應用到機器組。 |
log:GetAppliedMachineGroups | 獲得機器組上已經被應用的機器列表。 |
log:GetAppliedConfigs | 獲得機器組上已經被應用的配置名稱。 |
log:RemoveConfigFromMachineGroup | 從機器組中刪除配置。 |
log:CreateIndex | 為指定Logstore建立索引。 |
log:GetIndex | 查詢指定Logstore的索引。 |
log:UpdateIndex | 更新指定Logstore的索引。 |
log:DeleteIndex | 刪除指定Logstore的索引。 |
log:CreateSavedSearch | 建立快速查詢。 |
log:GetSavedSearch | 查看指定快速查詢。 |
log:UpdateSavedSearch | 更新快速查詢。 |
log:DeleteSavedSearch | 刪除快速查詢。 |
log:CreateDashboard | 建立儀錶盤。 |
log:GetDashboard | 查看指定儀錶盤。 |
log:UpdateDashboard | 更新儀錶盤。 |
log:DeleteDashboard | 刪除儀錶盤。 |
log:CreateJob | 建立任務。例如建立警示、訂閱。 |
log:GetJob | 查詢任務。 |
log:DeleteJob | 刪除任務。 |
log:UpdateJob | 更新任務。 |
log:PostLogStoreLogs | 向指定的Logstore寫入日誌資料。 |
AliyunCCManagedLogRole
ACS叢集預設使用該角色通過SLSLog Service組件,採集並展示K8s審計日誌。
SLS相關許可權
許可權名稱(Action) | 說明 |
log:CreateProject | 建立一個Project。 |
log:GetProject | 根據Project名稱查詢Project。 |
log:DeleteProject | 刪除一個指定的Project。 |
log:CreateLogStore | 在Project下建立Logstore。 |
log:GetLogStore | 查看Logstore屬性。 |
log:UpdateLogStore | 更新Logstore的屬性。 |
log:DeleteLogStore | 刪除Logstore。 |
log:CreateConfig | 建立日誌採集配置。 |
log:UpdateConfig | 更新配置內容。 |
log:GetConfig | 擷取採集配置的詳細資料。 |
log:DeleteConfig | 刪除指定的日誌採集配置。 |
log:CreateMachineGroup | 根據需求建立一組機器,用以日誌收集下發配置。 |
log:UpdateMachineGroup | 更新機器組資訊。 |
log:GetMachineGroup | 查看具體的MachineGroup資訊。 |
log:DeleteMachineGroup | 刪除機器組。 |
log:ApplyConfigToGroup | 將配置應用到機器組。 |
log:GetAppliedMachineGroups | 獲得機器組上已經被應用的機器列表。 |
log:GetAppliedConfigs | 獲得機器組上已經被應用的配置名稱。 |
log:RemoveConfigFromMachineGroup | 從機器組中刪除配置。 |
log:CreateIndex | 為指定Logstore建立索引。 |
log:GetIndex | 查詢指定Logstore的索引。 |
log:UpdateIndex | 更新指定Logstore的索引。 |
log:DeleteIndex | 刪除指定Logstore的索引。 |
log:CreateSavedSearch | 建立快速查詢。 |
log:GetSavedSearch | 查看指定快速查詢。 |
log:UpdateSavedSearch | 更新快速查詢。 |
log:DeleteSavedSearch | 刪除快速查詢。 |
log:CreateDashboard | 建立儀錶盤。 |
log:GetDashboard | 查看指定儀錶盤。 |
log:UpdateDashboard | 更新儀錶盤。 |
log:DeleteDashboard | 刪除儀錶盤。 |
log:CreateJob | 建立任務。例如建立警示、訂閱。 |
log:GetJob | 查詢任務。 |
log:DeleteJob | 刪除任務。 |
log:UpdateJob | 更新任務。 |
log:PostLogStoreLogs | 向指定的Logstore寫入日誌資料。 |
log:CreateSortedSubStore | 建立排序子儲存。 |
log:GetSortedSubStore | 擷取排序子儲存。 |
log:ListSortedSubStore | 列舉排序子儲存。 |
log:UpdateSortedSubStore | 更新排序子儲存。 |
log:DeleteSortedSubStore | 刪除排序子儲存。 |
log:CreateApp | Log ServiceAPP(成本管家、日誌審計)的建立許可權。 |
log:UpdateApp | Log ServiceAPP(成本管家、日誌審計)的更新許可權。 |
log:GetApp | Log ServiceAPP(成本管家、日誌審計)的查看許可權。 |
log:DeleteApp | Log ServiceAPP(成本管家、日誌審計)的刪除許可權。 |
cs:DescribeTemplates | 擷取容器模板。 |
cs:DescribeTemplateAttribute | 擷取容器模板屬性。 |
ACK相關許可權
許可權名稱(Action) | 說明 |
cs:UpdateContactGroup | 更新警示項連絡人分組。 |
cs:DescribeTemplates | 查詢所有編排模板。 |
cs:DescribeTemplateAttribute | 查詢編排模板詳情。 |
AliyunCCManagedArmsRole
ACS叢集預設使用該角色訪問ARMS監控服務的資源,採集並展示ACS容器各項資源指標,以及應用效能指標監控。
ARMS相關許可權
許可權名稱(Action) | 說明 |
arms:CreateApp | 建立應用監控。 |
arms:DeleteApp | 刪除應用監控。 |
arms:ConfigAgentLabel | 修改應用監控Agent的標籤。 |
arms:GetAssumeRoleCredentials | 擷取應用監控角色扮演密鑰憑證。 |
arms:CreateProm | 建立阿里雲Prometheus監控。 |
arms:SearchEvents | 查詢警示事件記錄。 |
arms:SearchAlarmHistories | 查詢警示歷史發送記錄。 |
arms:SearchAlertRules | 查詢監控警示規則。 |
arms:GetAlertRules | 擷取監控警示規則。 |
arms:CreateAlertRules | 建立監控警示規則。 |
arms:UpdateAlertRules | 更新監控警示規則。 |
arms:StartAlertRule | 啟動監控警示規則。 |
arms:StopAlertRule | 停止監控警示規則。 |
arms:CreateContact | 建立警示連絡人。 |
arms:SearchContact | 查詢警示連絡人。 |
arms:UpdateContact | 更新警示連絡人。 |
arms:CreateContactGroup | 建立警示連絡人分組。 |
arms:SearchContactGroup | 查詢警示連絡人分組。 |
arms:UpdateContactGroup | 更新警示連絡人分組。 |
xtrace相關許可權
許可權名稱(Action) | 說明 |
xtrace:GetToken |
AliyunCCCISDefaultRole
ACS叢集預設使用該角色訪問ECS、ACK、VPC、SLB等雲端服務的資源,定期檢查K8s及組件等健康狀態。
ECS相關許可權
許可權名稱(Action) | 說明 |
ecs:DescribeInstances | 查詢一台或多台ECS執行個體的詳細資料。 |
ecs:DescribeInstanceStatus | 擷取多台ECS執行個體的狀態資訊。 |
ecs:DescribeInstanceTypes | 查詢Elastic Compute Service提供的所有執行個體規格的資訊,也可以查詢指定執行個體規格的資訊。 |
ecs:DescribeInstanceTypeFamilies | 查詢Elastic Compute Service提供的執行個體規格類型系列列表。 |
ecs:DescribeInstanceAttribute | 查詢單個ECS執行個體詳情。 |
ecs:DescribeDiagnosticReports | 查詢資源診斷報告列表。 |
ecs:DescribeDiagnosticReportAttributes | 查詢資源診斷詳情。 |
ecs:DescribeDiagnosticMetricSets | 查詢資源診斷集合列表。 |
ecs:DescribeDiagnosticMetrics | 查詢診斷指標列表。 |
ecs:DescribeSecurityGroupAttribute | 查詢一個安全性群組的安全性群組規則。 |
ecs:DescribeSecurityGroups | 查詢您建立的安全性群組的基本資料。 |
ecs:DescribeSecurityGroupReferences | 查詢一個安全性群組和其他哪些安全性群組有安全性群組層級的授權行為。 |
ecs:DescribeBandwidthLimitation | 查詢不同執行個體規格可以購買、升級或降配的公網頻寬上限。 |
ecs:DescribeCloudAssistantStatus | 查詢一台或者多台執行個體是否安裝了雲助手Agent。如果已安裝了雲助手,還將查詢雲助手命令執行的總數量、正在執行的數量以及最近一次命令執行的時間。 |
ecs:DescribeCommands | 查詢您手動建立的雲助手命令或者阿里雲提供的公用命令。 |
ecs:DescribeInvocationResults | 查看一條或多條雲助手命令的執行結果,即在ECS執行個體中的實際執行結果。 |
ecs:CreateCommand | 建立一條雲助手命令。 |
ecs:InvokeCommand | 為一台或多台ECS執行個體觸發一條雲助手命令。 |
ecs:StopInvocation | 停止一台或多台ECS執行個體中一條進行中中(Running)的雲助手命令進程。 |
ecs:CreateDiagnosticReport | 建立資源診斷報告。根據您傳入診斷指標集合ID,產生多個診斷指標的診斷報告。 |
ecs:DescribeNetworkInterfaces | 查詢一個或多個彈性網卡(ENI)的詳細資料。 |
ecs:RunCommand | 在一台或多台ECS執行個體中執行一段Shell、PowerShell或者Bat類型的指令碼。 |
VPC相關許可權
許可權名稱(Action) | 說明 |
vpc:DescribeVpcs | 查詢已建立的VPC。 |
vpc:DescribeVpcAttribute | 查詢指定VPC的配置資訊。 |
vpc:DescribeVSwitches | 查詢可組網的資訊,內網按vSwitch進行組網。 |
vpc:DescribeVSwitchAttributes | 查詢指定交換器的配置資訊。 |
vpc:DescribeRouteTableList | 查詢路由表列表。 |
vpc:DescribeRouteEntryList | 查詢路由條目列表。 |
vpc:DescribeNatGateways | 以列表形式查詢指定地區指定條件NAT Gateway的詳細資料。 |
vpc:DescribeRouteTables | 查詢路由表。 |
vpc:DescribeSnatTableEntries | 查詢網路ACL的詳細資料。 |
vpc:DescribeNetworkAcls | 查看網路ACL列表。 |
vpc:DescribeNetworkAclAttributes | 查詢網路ACL的詳細資料。 |
vpc:DescribeEipAddresses | 查詢指定地區已建立的EIP。 |
SLB相關許可權
許可權名稱(Action) | 說明 |
slb:DescribeLoadBalancers | 查詢已建立的Server Load Balancer執行個體。 |
slb:DescribeLoadBalancerAttribute | 查詢指定Server Load Balancer執行個體的詳細資料。 |
slb:DescribeVServerGroups | 查詢服務器組列表。 |
slb:DescribeVServerGroupAttribute | 查詢服務器組的詳細資料。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查詢TCP監聽配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查詢UDP監聽配置。 |
slb:DescribeAccessControlLists | 查詢已建立的存取控制策略組。 |
slb:DescribeAccessControlListAttribute | 查詢存取控制策略組的配置。 |
slb:DescribeLoadBalancerListeners | 查詢負載平衡監聽列表詳情。 |
slb:DescribeHealthStatus | 查詢後端伺服器的健康狀態。 |
SLS相關許可權
許可權名稱(Action) | 說明 |
sls:GetLogStore | 查看Logstore的詳細資料。 |
應用診斷分析平台相關許可權
許可權名稱(Action) | 說明 |
grace:GetFile | 擷取檔案資訊。 |
grace:AnalyzeFile | 分析檔案。 |
grace:UploadFileByOSS | 通過OSS上傳檔案。 |
grace:UploadFileByURL | 通過URL上傳檔案。 |
CloudMonitor相關許可權
許可權名稱(Action) | 說明 |
cms:DescribeMetricData | 查詢指定雲產品的某個監控項的監控資料。 |
cms:DescribeMetricLast | 查詢指定監控項的最新監控資料。 |
cms:DescribeMetricMetaList | 查詢CloudMonitor開放的監控項詳情。 |
cms:DescribeMetricTop | 先查詢指定雲產品的指定監控項的最新監控資料,再查詢該監控項排序後的監控資料。 |
cms:QueryMetricMeta | 查詢CloudMonitor開放的時序類監控項的監控項描述。 |
cms:QueryMetricTop | 查詢Top指標。 |
cms:ListMetricMeta | 列出資料來源指標。 |
cms:QueryMetricData | 查詢指定時間段內的雲產品時序指標監控資料。 |
cms:QueryMetricLast | 查詢指定監控對象的最新監控資料。 |
cms:DescribeMetricList | 查詢指定雲產品的指定監控項的監控資料。 |
cms:QueryMetricList | 查詢一段時間內指定產品執行個體的監控資料。 |
cms:DescribeAlertLogList | 查詢最近一年的警示歷史。 |
cms:DescribeSystemEventAttribute | 查詢系統事件詳情。 |
ACK相關許可權
許可權名稱(Action) | 說明 |
cs:DescribeClusterDetail | 根據叢集ID查詢該叢集的詳情。 |
cs:DescribeClusterResources | 根據叢集ID查詢該叢集的所有資源。 |
cs:DescribeTaskInfo | 根據任務ID,查詢該任務執行詳情。 |
cs:DescribeClusterAddonsUpgradeStatus | 根據組件名稱查詢該組件升級狀態。 |
資源配額相關許可權
許可權名稱(Action) | 說明 |
quotas:ListProducts | 查詢配額中心已支援的雲端服務列表。 |
quotas:ListProductQuotas | 查詢目標雲端服務的配額列表。 |
quotas:ListProductQuotaDimensions | 查詢目標雲端服務支援的配額維度。 |
quotas:GetProductQuota | 查詢目標配額詳情。 |
quotas:GetProductQuotaDimension | 查詢目標雲端服務支援的配額維度詳情。 |
RAM相關許可權
許可權名稱(Action) | 說明 |
ram:CreateServiceLinkedRole | 建立新服務關聯角色。 |
AliyunCCManagedAcrRole
ACS叢集預設使用該角色訪問ACRContainer Registry擷取臨時帳號密碼,用於啟動ACS Pod執行個體。
CR相關許可權
許可權名稱(Action) | 說明 |
cr:GetAuthorizationToken | 擷取用於登入執行個體的臨時帳號和臨時密碼。 |
cr:ListInstanceEndpoint | 查詢執行個體網路訪問入口列表。 |
AliyunCCForResourceProviderRole
ACS叢集預設使用該角色在建立Pod時訪問依賴雲產品資源。
ECS相關許可權
許可權名稱(Action) | 說明 |
ecs:CreateNetworkInterfacePermission | 建立彈性網卡(ENI)許可權。 |
ecs:DeleteNetworkInterfacePermission | 刪除彈性網卡(ENI)許可權。 |
ecs:CreateNetworkInterface | 建立一個彈性網卡(ENI)。 |
ecs:DeleteNetworkInterface | 刪除一個彈性網卡(ENI)。 |
ecs:DescribeSecurityGroups | 查詢安全性群組的基本資料。 |
ecs:DescribeNetworkInterfaces | 查看彈性網卡(ENI)列表。 |
ecs:CreateDisk | 建立一個雲端硬碟。 |
ecs:DescribeDisks | 查詢雲端硬碟列表。 |
ecs:AttachDisk | 掛載一個雲端硬碟。 |
ecs:DetachDisk | 卸載一個雲端硬碟。 |
VPC相關許可權
許可權名稱(Action) | 說明 |
vpc:DescribeVSwitches | 查詢已建立的交換器。 |
vpc:DescribeVpcs | 查詢已建立的VPC。 |
vpc:AllocateEipAddress | 申請Elastic IP Address(Elastic IP Address,簡稱EIP)。 |
vpc:AssociateEipAddress | 將Elastic IP Address(EIP)綁定到同地區的雲產品執行個體上。 |
vpc:UnassociateEipAddress | 將Elastic IP Address(EIP)從綁定的雲產品上解除綁定。 |
vpc:ReleaseEipAddress | 釋放指定的Elastic IP Address(EIP)。 |
AliyunCCManagedVirtualNodeRole
ACS叢集預設使用該角色在建立虛擬節點時訪問依賴雲產品資源。
PVTZ相關許可權
許可權名稱(Action) | 說明 |
pvtz:AddZone | 添加zone。 |
pvtz:DeleteZone | 刪除zone。 |
pvtz:DescribeZones | 擷取zone列表。 |
pvtz:BindZoneVpc | zone關聯VPC。 |
pvtz:AddZoneRecord | 添加解析記錄。 |
pvtz:DeleteZoneRecord | 刪除解析記錄。 |
pvtz:DescribeZoneRecords | 查詢解析記錄列表。 |
VPC相關許可權
許可權名稱(Action) | 說明 |
vpc:DescribeVSwitches | 查詢已建立的交換器。 |
AliyunCSDefaultRole
該角色為Container Service產品(ACK)的服務角色,ACS預設使用該角色對Kubernetes叢集進行建立、刪除、升級等操作。
關於該服務角色詳情請見:Container ServiceACK服務角色。