容器服务ACK已于2023年01月30日对ACK Pro集群落盘加密功能进行鉴权加固,加固后用户阿里云账号下的RAM用户或RAM角色需要同时满足RAM权限和容器服务ACK授权管理预置RBAC权限的双重鉴权,才能进行开启或关闭落盘加密功能的相关操作。
变更影响
ACK Pro集群落盘加密功能鉴权加固后,RAM用户或RAM角色对集群进行开启或关闭落盘加密操作时,需要同时具备如下权限。
- 绑定的RAM权限策略中包含cs:UpdateKMSEncryption。
- RAM用户或RAM角色在目标集群中,已被授予容器服务ACK预置管理员或运维人员权限。
如果您使用的RAM用户或RAM角色之前可以正常操作落盘加密功能。鉴权加固后,您在容器服务控制台进行落盘加密的变更操作时,遇到如下错误提示问题,请根据提示进行对应的授权操作。
- 错误提示出现RAM policy Forbidden for action cs:UpdateKMSEncryption时,请参见下文授予RAM权限策略进行授权。
- 错误提示出现Forbidden update kms cluster, this operation need Ops rbac binding at least时,请参见下文授予容器服务ACK授权管理权限进行授权。
授予RAM权限策略
由权限管理员为当前RAM用户或RAM角色增加权限,新增如下RAM权限策略内容。具体操作,请参见改自定义权限策略内容和备注。
{
"Action": [
"cs:UpdateKMSEncryption"
],
"Effect": "Allow",
"Resource": [
"*"
]
}授予容器服务ACK授权管理权限
由权限管理员为当前RAM用户或RAM角色授予指定集群所有命名空间下的容器服务ACK预置管理员或运维人员权限。具体操作,请参见配置RAM用户或RAM角色RBAC权限。