全部产品

容器服务 Kubernetes 版 ACK：容器服务ACK服务角色

更新时间：Jun 09, 2025

开通容器服务 Kubernetes 版时，您需要为服务账号授予系统服务角色。只有正确授予该角色权限后，容器服务才能正常地调用相关服务（ECS、OSS、NAS、SLB等）、创建集群以及保存日志等。本文介绍容器服务ACK服务角色包含的权限。

一键授权服务角色

首次使用容器服务 Kubernetes 版时，通过访问控制快速授权获取的服务角色说明如下所示。

角色	角色说明	角色对应的权限策略详情
AliyunCSDefaultRole	容器服务 Kubernetes 版在管控操作中使用该角色访问您在ECS、VPC、SLB、ROS、ESS等服务中的资源。	AliyunCSDefaultRolePolicy
AliyunCSManagedKubernetesRole	ACK托管集群和ACK Edge集群使用该角色访问您在ECS、VPC、SLB、ACR等服务中的资源。	AliyunCSManagedKubernetesRolePolicy
AliyunCSServerlessKubernetesRole	ACK Edge集群和ACK Serverless集群使用该角色来访问您在ECS、VPC、SLB、Private Zone等服务中的资源。	AliyunCSServerlessKubernetesRolePolicy
AliyunCSKubernetesAuditRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的审计功能组件使用该角色来访问您在SLS服务中的资源。	AliyunCSKubernetesAuditRolePolicy
AliyunCSManagedNetworkRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的网络组件使用该角色访问您在ECS、VPC服务中的资源。	AliyunCSManagedNetworkRolePolicy
AliyunCSManagedCsiRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的存储组件使用该角色访问您在ECS、NAS、OSS等服务中的资源。	AliyunCSManagedCsiRolePolicy
AliyunCSManagedCmsRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的监控组件使用该角色访问您在CMS、SLS服务中的资源。	AliyunCSManagedCmsRolePolicy
AliyunCSManagedLogRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的日志组件使用该角色访问您在SLS服务中的资源。	AliyunCSManagedLogRolePolicy
AliyunCSManagedArmsRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的应用实时监控组件使用该角色访问您在ARMS服务中的资源。	AliyunCSManagedArmsRolePolicy
AliyunCISDefaultRole	ACK容器智能运维平台将使用该角色访问您在ECS、VPC、SLB等服务中的资源，为您提供诊断和巡检等服务。	AliyunCISDefaultRolePolicy
AliyunCSManagedCsiProvisionerRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的存储组件（csi-provisioner托管组件）使用该角色访问您在ECS、NAS、OSS、服务中的资源。	AliyunCSManagedCsiProvisionerRolePolicy
AliyunCSManagedCsiPluginRole	ACK托管集群、ACK Edge集群和ACK Serverless集群中的CSI存储组件（数据面）使用该角色访问您在ECS等服务中的资源。	AliyunCSManagedCsiPluginRolePolicy

可选授权服务角色

您在使用容器服务 Kubernetes 版，使用到如下相关服务角色时，需要由阿里云账号或拥有管理员权限的RAM用户进行授权。

角色	角色说明	角色对应的权限策略详情
AliyunCSManagedAcrRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的免密组件镜像拉取使用该角色访问您在ACR容器镜像服务中的资源。	AliyunCSManagedAcrRolePolicy
AliyunCSManagedNlcRole	ACK托管集群和ACK Edge集群的节点生命周期控制器使用该角色访问您的ECS和ACK节点池资源。	AliyunCSManagedNlcRolePolicy
AliyunCSManagedAutoScalerRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的弹性伸缩组件使用该角色访问您在ESS和ECS服务中的资源。	AliyunCSManagedAutoScalerRolePolicy
AliyunCSManagedSecurityRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的落盘加密和凭据管理组件使用该角色访问您在KMS服务中的资源。	AliyunCSManagedSecurityRolePolicy
AliyunCSManagedCostRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的成本分析组件使用该角色访问您在账单管理API、ECS和ECI服务中的资源。	AliyunCSManagedCostRolePolicy
AliyunCSManagedNimitzRole	ACK灵骏集群的网络组件使用该角色访问您在智能计算灵骏服务中的资源。	AliyunCSManagedNimitzRolePolicy
AliyunCSManagedBackupRestoreRole	ACK托管集群、ACK Edge集群和ACK Serverless集群的备份中心服务组件使用该角色访问您在云备份（Cloud Backup）服务和OSS服务中的资源。	AliyunCSManagedBackupRestoreRolePolicy
AliyunCSManagedEdgeRole	ACK Edge集群的管控组件使用该角色访问您在智能接入网关、VPC和云企业网CEN服务中的资源。	AliyunCSManagedEdgeRolePolicy
AliyunOOSLifecycleHook4CSRole	系统运维管理OOS使用该角色访问您在容器服务 Kubernetes 版、ECS、PolarDB等服务中的资源。	展开查看该角色的权限策略详情 `{ "Version": "1", "Statement": [ { "Action": [ "cs:DeleteClusterNodes", "cs:DescribeClusterNodes", "cs:DescribeTaskInfo" ], "Resource": [ "" ], "Effect": "Allow" }, { "Action": [ "ess:CompleteLifecycleAction" ], "Resource": [ "" ], "Effect": "Allow" }, { "Action": [ "polardb:DescribeDBClusterAccessWhitelist", "polardb:ModifyDBClusterAccessWhitelist" ], "Resource": [ "" ], "Effect": "Allow" }, { "Action": [ "ecs:DescribeInstances" ], "Resource": [ "" ], "Effect": "Allow" } ] }`