使用诊断、巡检服务或计算AI助手时,您需要为服务账号授予特定的服务角色,容器智能运维和计算AI助手才能正常地调用相关服务(ECS、CS、VPC、SLB等),为您提供集群检查、智能诊断等服务。本文介绍容器智能运维与计算AI助手授权的授权方式和权限说明。
适用范围
阿里云账号(主账号)和拥有管理权限的RAM用户(子账号)可以授权服务角色。
授权使用集群检查、集群巡检、集群诊断功能
进入访问控制快速授权页面,单击确认授权创建角色AliyunCISDefaultRole并为该角色授予AliyunCISDefaultRolePolicy系统权限,以访问ECS、VPC、SLB等云资源,为集群提供诊断和巡检等服务。
完成以上授权后,刷新控制台即可使用容器智能运维服务。
角色权限说明
ECS相关权限
|
权限名称(Action) |
说明 |
|
ecs:DescribeInstances |
查询一台或多台ECS实例的详细信息。 |
|
ecs:DescribeInstanceStatus |
获取一台或多台ECS实例的状态信息。 |
|
ecs:DescribeInstanceTypes |
查询云服务器ECS提供的实例规格资源。 |
|
ecs:DescribeInstanceTypeFamilies |
查询云服务器ECS提供的实例规格族资源。 |
|
ecs:DescribeInstanceAttribute |
查询单个ECS实例详情。 |
|
ecs:CreateDiagnosticReport |
创建资源诊断报告。 |
|
ecs:DescribeDiagnosticReports |
查询资源诊断报告列表。 |
|
ecs:DescribeDiagnosticReportAttributes |
查询资源诊断详情。 |
|
ecs:DescribeDiagnosticMetricSets |
查询资源诊断集合列表。 |
|
ecs:DescribeDiagnosticMetrics |
查询诊断指标列表。 |
|
ecs:DescribeSecurityGroupAttribute |
查询一个安全组的安全组规则。 |
|
ecs:DescribeSecurityGroups |
查询安全组的基本信息。 |
|
ecs:DescribeSecurityGroupReferences |
查询一个安全组和其他哪些安全组有安全组级别的授权行为。 |
|
ecs:DescribeBandwidthLimitation |
查询带宽资源列表。 |
|
ecs:DescribeCloudAssistantStatus |
查询一台或者多台实例是否安装了云助手Agent。 |
|
ecs:DescribeCommands |
查询已经创建的云助手命令。 |
|
ecs:DescribeInvocationResults |
查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。 |
|
ecs:DescribeNetworkInterfaces |
查看弹性网卡(ENI)列表。 |
|
ecs:CreateCommand |
新建一条云助手命令。 |
|
ecs:InvokeCommand |
为一台或多台ECS实例触发一条云助手命令。 |
|
ecs:StopInvocation |
停止一台或多台ECS实例中正在进行(Running)的云助手命令进程。 |
|
ecs:RunCommand |
新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。 |
VPC相关权限
|
权限名称(Action) |
说明 |
|
vpc:DescribeVpcs |
查询已创建的VPC。 |
|
vpc:DescribeVpcAttribute |
查询指定VPC的配置信息。 |
|
vpc:DescribeVSwitches |
查询已创建的交换机。 |
|
vpc:DescribeVSwitchAttributes |
查询交换机的配置信息。 |
|
vpc:DescribeRouteTableList |
查询路由表列表。 |
|
vpc:DescribeRouteEntryList |
查询路由条目列表。 |
|
vpc:DescribeNatGateways |
查询指定地域指定条件的NAT网关的详细信息。 |
|
vpc:DescribeEipAddresses |
查询指定地域已创建的EIP。 |
|
vpc:DescribeRouteTables |
查询路由表信息。 |
|
vpc:DescribeSnatTableEntries |
查询已创建的SNAT条目。 |
|
vpc:DescribeNetworkAcls |
查看网络ACL列表。 |
|
vpc:DescribeNetworkAclAttributes |
查询网络ACL的详细信息。 |
SLB相关权限
|
权限名称(Action) |
说明 |
|
slb:DescribeLoadBalancers |
查询已创建的负载均衡实例。 |
|
slb:DescribeLoadBalancerAttribute |
查询指定负载均衡实例的详细信息。 |
|
slb:DescribeVServerGroups |
查询服务器组列表。 |
|
slb:DescribeVServerGroupAttribute |
查询服务器组的详细信息。 |
|
slb:DescribeLoadBalancerTCPListenerAttribute |
查询TCP监听配置。 |
|
slb:DescribeLoadBalancerUDPListenerAttribute |
查询UDP监听的配置。 |
|
slb:DescribeAccessControlLists |
查询已创建的访问控制策略组。 |
|
slb:DescribeAccessControlListAttribute |
查询访问控制策略组的配置。 |
|
slb:DescribeLoadBalancerListeners |
查询负载均衡监听列表详情。 |
|
slb:DescribeHealthStatus |
查询后端服务器的健康状态。 |
SLS相关权限
|
权限名称(Action) |
说明 |
|
sls:GetLogStore |
查看Logstore的详细信息。 |
CS相关权限
|
权限名称(Action) |
说明 |
|
cs:DescribeClusterDetail |
查看集群的详细信息。 |
|
cs:DescribeClusterResources |
查询指定集群的所有资源。 |
|
cs:DescribeTasks |
查询指定集群Task。 |
|
cs:DescribeTaskInfo |
查询指定集群Task信息。 |
|
cs:DescribeClusterNodePools |
查询集群内所有节点池详情。 |
|
cs:DescribeNodePoolVuls |
查询指定集群节点池的漏洞列表。 |
|
cs:DescribeClusterAddonsUpgradeStatus |
查询多个组件的升级状态。 |
ECI相关权限
|
权限名称(Action) |
说明 |
|
eci:DescribeContainerGroups |
批量获取容器组信息。 |
|
eci:RunCommand |
在ECI实例中执行Shell类型的脚本。 |
|
eci:DescribeCommandResult |
查看命令的执行结果。 |
|
eci:ListUsage |
查询指定地域的权益配额。 |
CMS相关权限
|
权限名称(Action) |
说明 |
|
cms:DescribeMetricData |
查询指定时间段内云服务的监控数据。 |
|
cms:DescribeMetricLast |
查询指定监控项的最新监控数据。 |
|
cms:DescribeMetricMetaList |
查询云监控开放的监控项描述。 |
|
cms:DescribeMetricTop |
查询排序后的指定云服务的监控数据。 |
|
cms:QueryMetricMeta |
查询云监控的监控项。 |
|
cms:QueryMetricTop |
查询指定云服务的监控数据。 |
|
cms:ListMetricMeta |
列出指标元数据。 |
|
cms:ListMetricMetaProject |
列出指标元项目。 |
|
cms:QueryMetricData |
查询云服务的监控数据。 |
|
cms:QueryMetricLast |
查询监控项的最新监控数据。 |
|
cms:DescribeMetricList |
查询指定云产品的指定监控项的监控数据。 |
|
cms:QueryMetricList |
查询云监控的监控项描述。 |
|
cms:MetricMeta |
查询云监控的监控项。 |
|
cms:DescribeAlertLogList |
查询最近的报警历史。 |
|
cms:DescribeSystemEventAttribute |
查询系统事件详情。 |
|
cms:GetMetricStreamMeta |
查询云监控的监控项描述信息。 |
QUOTAS相关权限
|
权限名称(Action) |
说明 |
|
quotas:ListProducts |
查询配额中心已支持的云服务列表。 |
|
quotas:ListProductQuotas |
查询目标云服务的配额列表。 |
|
quotas:ListProductQuotaDimensions |
查询目标云服务支持的配额维度。 |
|
quotas:GetProductQuota |
查询目标配额详情。 |
|
quotas:GetProductQuotaDimension |
查询目标云服务支持的配额维度详情。 |
RAM相关权限
|
权限名称(Action) |
说明 |
|
ram:ListPoliciesForRole |
列举RAM Role Policy相关资源权限。 |
GRACE相关权限
|
权限名称(Action) |
说明 |
|
grace:GetFile |
获取ATP分析文件信息。 |
|
grace:AnalyzeFile |
在ATP平台分析文件。 |
|
grace:UploadFileByOSS |
通过OSS上传文件到ATP平台。 |
|
grace:UploadFileByURL |
通过URL上传文件到ATP平台。 |
授权使用容器服务计算AI助手Agent功能
进入访问控制快速授权页面,单击确认授权创建角色AliyunCSAIAssistantRole并为该角色授予AliyunCSAIAssistantRolePolicy系统权限,以允许容器服务计算AI助手扮演当前登录的阿里云用户,并使用该用户的权限调用工具。
角色权限说明
RAM相关权限
关于RAM扮演角色的机制,请参见AssumeRole - 获取扮演角色的临时身份凭证。
{
"Version": "1",
"Statement": [
{
"Action": [
"cs:DescribeClusterVuls",
"cs:DescribeKubernetesVersionMetadata",
"cs:DescribeClusterEndpoints",
"cs:DescribePolicyInstancesStatus",
"cs:GetClusterCheckResult",
"cs:GetCostCheckItem",
"cs:CheckControlPlaneLogEnable",
"cs:GetClusterAuditProject",
"cs:DescribeClusterDetail",
"cs:DescribeClusters",
"cs:CreateClusterDiagnosis",
"cs:CreateClusterInspectConfig",
"cs:GetClusterDiagnosisResult",
"cs:RunClusterInspect",
"cs:RunClusterCheck",
"cs:ListClusterInspectReports",
"cs:GetClusterInspectReportDetail",
"cs:ListClusterChecks",
"cs:GetClusters"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-sas:DescribeSuspEvents",
"yundun-sas:DescribeVulDetails"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cr:CreateClusterImageAnalysisTask",
"cr:GetClusterImageAnalysisTask"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"arms:GetPrometheusInstance",
"arms:GetCloudClusterAllUrl"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"log:ListProject",
"log:ListTagResources",
"log:ListLogStores",
"log:ListConsumerGroup",
"log:GetProject",
"log:GetAlert",
"log:GetIndex",
"log:GetLogStore",
"log:GetLogStoreLogs"
],
"Resource": "*"
}
]
}Kubernetes集群RBAC权限
容器服务计算AI助手扮演当前登录的阿里云用户,并继承该用户的Kubernetes集群资源RBAC权限。