开通容器服务时,您需要为服务账号授予系统服务角色。只有正确授予该角色权限后,容器服务才能正常地调用相关服务(ECS、OSS、NAS、SLB等)、创建集群以及保存日志等。本文介绍容器服务ACK服务角色包含的权限。
角色权限内容
容器服务ACK包含的服务角色说明如下表所示。
角色 | 角色说明 |
ACK在集群管控操作中使用该角色访问您在ECS、VPC、SLB、ROS、ESS等服务中的资源。 | |
ACK容器智能运维将使用该角色访问您在ECS、VPC、SLB等服务中的资源,为您提供诊断和巡检等服务。 | |
ACK托管集群使用该角色访问您在ECS、VPC、SLB、ACR等服务中的资源。 | |
ACK Serverless集群使用该角色来访问您在ECS、VPC、SLB、PVTZ等服务中的资源。 | |
ACK托管集群和ACK Serverless集群的审计功能使用该角色来访问您在SLS服务中的资源。 | |
ACK托管集群和ACK Serverless集群的网络组件使用该角色访问您在ECS、VPC服务中的资源。 | |
ACK托管集群和ACK Serverless集群的存储组件使用该角色访问您在ECS、NAS服务中的资源。 | |
ACK托管集群和ACK Serverless集群的监控组件使用该角色访问您在CMS、SLS服务中的资源。 | |
ACK托管集群和ACK Serverless集群的日志组件使用该角色访问您在SLS服务中的资源。 | |
ACK Serverless集群的Virtual Node组件使用该角色访问您在ECS、VPC、ECI等服务中的资源。 | |
ACK托管集群和ACK Serverless集群的应用实时监控组件使用该角色访问您在ARMS服务中的资源。 | |
ACK托管集群和ACK Serverless集群的镜像拉取免密插件使用该角色访问您在ACR容器镜像服务中的资源。 | |
ACK托管集群托管节点池控制组件使用该角色访问您的ECS和ACK节点池资源。 | |
ACK托管集群和ACK Serverless集群的弹性伸缩组件使用该角色访问您在ESS和ECS服务中的资源。 | |
ACK托管集群和ACK Serverless集群的落盘加密插件使用该角色访问您在KMS服务中的资源。 | |
ACK托管集群和ACK Serverless集群的成本分析组件使用该角色访问您在账单管理API、ECS和ECI服务中的资源。 | |
ACK灵骏集群的网络组件使用该角色访问您在智能计算灵骏服务中的资源。 | |
ACK托管集群的备份中心组件使用该角色访问您在云备份(Cloud Backup)服务和OSS服务中的资源。 | |
ACK Edge集群的管控组件使用该角色访问您在智能接入网关、VPC和云企业网CEN服务中的资源。 |
AliyunCSDefaultRole
ACK在集群操作时使用AliyunCSDefaultRole角色来访问您在其他云产品中的资源。
ECS相关权限
权限名称(Action) | 说明 |
ecs:RunInstances | 启动ECS实例。 |
ecs:RenewInstance | ECS实例续费。 |
ecs:Create* | 创建ECS相关资源,如实例、磁盘等。 |
ecs:AllocatePublicIpAddress | 分配公网IP地址。 |
ecs:AllocateEipAddress | 分配EIP地址。 |
ecs:Delete* | 删除机器实例。 |
ecs:StartInstance | 启动ECS相关资源。 |
ecs:StopInstance | 停止机器实例。 |
ecs:RebootInstance | 重启机器实例。 |
ecs:Describe* | 查询ECS相关资源。 |
ecs:AuthorizeSecurityGroup | 设置安全组入规则。 |
ecs:RevokeSecurityGroup | 撤销安全组规则。 |
ecs:AuthorizeSecurityGroupEgress | 设置安全组出规则。 |
ecs:AttachDisk | 添加磁盘。 |
ecs:DetachDisk | 清理磁盘。 |
ecs:WaitFor* | 任务执行等待。 |
ecs:AddTags | 添加标签。 |
ecs:ReplaceSystemDisk | 更换ECS实例的系统盘。 |
ecs:ModifyInstanceAttribute | 修改实例属性。 |
ecs:JoinSecurityGroup | 将实例加入到指定的安全组。 |
ecs:LeaveSecurityGroup | 将实例移出指定的安全组。 |
ecs:UnassociateEipAddress | 解绑弹性公网IP。 |
ecs:ReleaseEipAddress | 释放弹性公网IP。 |
ecs:CreateKeyPair | 创建一对SSH密钥对。 |
ecs:ImportKeyPair | 导入由其他工具产生的RSA密钥对的公钥部分。 |
ecs:AttachKeyPair | 绑定一个SSH密钥对到一台或多台Linux实例。 |
ecs:DetachKeyPair | 为一台或者多台Linux实例解绑SSH密钥对。 |
ecs:DeleteKeyPairs | 删除一对或者多对SSH密钥对。 |
ecs:AttachInstanceRamRole | 为一台或多台ECS实例授予实例RAM角色。 |
ecs:DetachInstanceRamRole | 收回一台或多台ECS实例的实例RAM角色。 |
ecs:AllocateDedicatedHosts | 创建一台或多台按量付费或者包年包月专有宿主机。 |
ecs:CreateOrder | 创建ECS实例订单。 |
ecs:DeleteInstance | 释放一台按量付费实例或者到期的包年包月实例。 |
ecs:CreateDisk | 创建一块按量付费或包年包月数据盘。 |
ecs:Createvpc | 创建ECS关联VPC。 |
ecs:Deletevpc | 删除ECS关联VPC。 |
ecs:DeleteVSwitch | 删除ECS关联交换机。 |
ecs:ResetDisk | 使用磁盘的历史快照回滚至某一阶段的磁盘状态。 |
ecs:DeleteSnapshot | 删除指定的快照。 |
ecs:AllocatePublicIpAddress | 为一台ECS实例分配一个公网IP地址。 |
ecs:CreateVSwitch | 创建ECS关联交换机。 |
ecs:DeleteSecurityGroup | 删除一个安全组。 |
ecs:CreateImage | 创建一份自定义镜像。 |
ecs:RemoveTags | 删除ECS实例标签。 |
ecs:ReleaseDedicatedHost | 释放一台按量付费专有宿主机。 |
ecs:CreateInstance | 创建一台包年包月或者按量付费ECS实例。 |
ecs:RevokeSecurityGroupEgress | 删除一条安全组出方向规则,撤销安全组出方向的访问权限。 |
ecs:DeleteDisk | 释放一块按量付费数据盘。 |
ecs:StopInstance | 停止运行一台实例。 |
ecs:CreateSecurityGroup | 新建一个安全组。 |
ecs:RevokeSecurityGroup | 删除一条安全组入方向规则,撤销安全组入方向的权限设置。 |
ecs:DeleteImage | 删除一份自定义镜像。 |
ecs:ModifyInstanceSpec | 调整一台按量付费ECS实例的实例规格和公网带宽大小。 |
ecs:CreateSnapshot | 为一块云盘创建一份快照。 |
ecs:CreateCommand | 新建一条云助手命令。 |
ecs:InvokeCommand | 为一台或多台ECS实例触发一条云助手命令。 |
ecs:StopInvocation | 停止一台或多台ECS实例中一条正在进行中(Running)的云助手命令进程。 |
ecs:DeleteCommand | 删除一条云助手命令。 |
ecs:RunCommand | 新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。 |
ecs:DescribeInvocationResults | 查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。 |
ecs:ModifyCommand | 修改一条云助手命令。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:Describe* | 查询VPC相关资源的信息。 |
vpc:AllocateEipAddress | 分配EIP地址。 |
vpc:AssociateEipAddress | 关联EIP地址。 |
vpc:UnassociateEipAddress | 不关联EIP地址。 |
vpc:ReleaseEipAddress | 释放弹性公网IP。 |
vpc:CreateRouteEntry | 创建路由接口。 |
vpc:DeleteRouteEntry | 删除路由接口。 |
vpc:CreateVSwitch | 创建交换机。 |
vpc:DeleteVSwitch | 删除交换机。 |
vpc:CreateVpc | 创建一个VPC。 |
vpc:DeleteVpc | 删除一个VPC。 |
vpc:CreateNatGateway | 创建一个NAT网关。 |
vpc:DeleteNatGateway | 删除指定的NAT网关。 |
vpc:CreateSnatEntry | 在SNAT列表中添加SNAT条目。 |
vpc:DeleteSnatEntry | 删除指定的SNAT条目。 |
vpc:ModifyEipAddressAttribute | 修改指定EIP的名称、描述信息和带宽峰值。 |
vpc:CreateForwardEntry | 在DNAT列表中添加DNAT条目。 |
vpc:DeleteBandwidthPackage | 创建指定的NAT带宽包。 |
vpc:CreateBandwidthPackage | 删除指定的NAT带宽包。 |
vpc:DeleteForwardEntry | 删除指定的DNAT条目。 |
vpc:TagResources | 为指定的资源统一创建并绑定标签。 |
vpc:DeletionProtection | 配置实例删除保护功能。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:Describe* | 查询负载均衡相关信息。 |
slb:CreateLoadBalancer | 创建负载均衡实例。 |
slb:DeleteLoadBalancer | 删除负载均衡实例。 |
slb:RemoveBackendServers | 解绑负载均衡实例。 |
slb:StartLoadBalancerListener | 启动指定的监听服务。 |
slb:StopLoadBalancerListener | 停止指定的监听服务。 |
slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听。 |
slb:AddBackendServers | 添加后端服务器。 |
slb:CreateVServerGroup | 创建虚拟服务器组,并添加后端服务器。 |
slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
slb:CreateLoadBalancerUDPListener | 创建UDP监听。 |
slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
slb:SetBackendServers | 配置后端服务器,为负载均衡实例后端的一组服务器(ECS实例)配置权重值。 |
slb:AddVServerGroupBackendServers | 向指定的后端服务器组中添加后端服务器。 |
slb:DeleteVServerGroup | 删除服务器组。 |
slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
slb:DeleteLoadBalancerListener | 删除负载均衡实例监听。 |
slb:AddTags | 为指定的负载均衡实例添加标签。 |
slb:RemoveTags | 解绑指定负载均衡实例下的标签。 |
slb:SetLoadBalancerDeleteProtection | 为负载均衡实例设置删除保护。 |
DNS相关权限
权限名称(Action) | 说明 |
dns:Describe* | 查询DNS相关资源。 |
dns:AddDomainRecord | 添加域名解析记录。 |
RDS相关权限
权限名称(Action) | 说明 |
rds:Describe* | 查询RDS相关资源。 |
rds:ModifySecurityIps | 修改RDS实例IP白名单。 |
ROS相关权限
权限名称(Action) | 说明 |
ros:Describe* | 获取ROS相关资源。 |
ros:WaitConditions | ROS脚本执行等待。 |
ros:AbandonStack | 终止Stack。 |
ros:DeleteStack | 删除Stack。 |
ros:CreateStack | 创建Stack。 |
ros:UpdateStack | 更新Stack。 |
ros:ValidateTemplate | 校验ROS模板。 |
ros:DoActions | 执行Actions。 |
ros:InquiryStack | 查询Stack。 |
ros:SetDeletionProtection | 设置删除保护。 |
ros:PreviewStack | 预览Stack。 |
ESS相关权限
权限名称(Action) | 说明 |
ess:Describe* | 查询ESS相关资源。 |
ess:CreateScalingConfiguration | 创建一个伸缩配置。 |
ess:EnableScalingGroup | 启用一个伸缩组。 |
ess:ExitStandby | 使伸缩组内处于备用状态的ECS实例进入运行状态。 |
ess:DetachDBInstances | 移除一个或多个RDS实例。 |
ess:DetachLoadBalancers | 移除一个或多个负载均衡实例。 |
ess:AttachInstances | 从一个伸缩组关联一台或多台ECS实例。 |
ess:DeleteScalingConfiguration | 删除一个伸缩配置。 |
ess:AttachLoadBalancers | 添加一个或多个负载均衡实例。 |
ess:DetachInstances | 从一个伸缩组分离一台或多台ECS实例。 |
ess:ModifyScalingRule | 修改伸缩组规则。 |
ess:RemoveInstances | 从指定的伸缩组里移出ECS实例。 |
ess:ModifyScalingGroup | 修改一个伸缩组。 |
ess:AttachDBInstances | 添加一个或多个RDS实例。 |
ess:CreateScalingRule | 创建一条伸缩规则。 |
ess:DeleteScalingRule | 删除一条伸缩规则。 |
ess:ExecuteScalingRule | 执行一条伸缩规则。 |
ess:SetInstancesProtection | 保护或者停止保护伸缩组内的一台或者多台ECS实例。 |
ess:ModifyNotificationConfiguration | 修改一条弹性伸缩事件及资源变化通知的信息。 |
ess:CreateNotificationConfiguration | 创建一条弹性伸缩事件及资源变化通知的信息。 |
ess:EnterStandby | 将伸缩组内的ECS实例设置为备用状态。 |
ess:DeleteScalingGroup | 删除一个伸缩组。 |
ess:CreateScalingGroup | 创建一个伸缩组。 |
ess:DeleteNotificationConfiguration | 删除一条弹性伸缩事件及资源变化通知的信息。 |
ess:DisableScalingGroup | 禁用一个伸缩组。 |
ModifyScalingConfiguration | 修改一个伸缩配置。 |
SetGroupDeletionProtection | 为伸缩组开启或关闭删除保护。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:PassRole | RAM跨服务授权权限。 |
ram:Get* | 获取RAM相关资源权限。 |
ram:List* | 列举RAM相关资源权限。 |
ram:DetachPolicyFromRole | 为角色撤销指定的权限。 |
ram:AttachPolicyToRole | 为指定角色附加授权。 |
ram:DeletePolicy | 删除指定权限策略。 |
ram:DeletePolicyVersion | 删除指定版本的策略。 |
ram:DeleteRole | 删除RAM角色。 |
ram:CreateRole | 创建RAM角色。 |
ram:CreatePolicy | 创建RAM策略。 |
ram:CreateServiceLinkedRole | 创建SLR权限。 |
CMS相关权限
权限名称(Action) | 说明 |
cms:CreateMyGroups | 创建个人应用分组。 |
cms:AddMyGroupInstances | 添加个人分组内的资源实例。 |
cms:DeleteMyGroupInstances | 删除个人分组内的资源实例。 |
cms:DeleteMyGroups | 删除个人应用分组。 |
cms:GetMyGroups | 获取个人应用分组。 |
cms:ListMyGroups | 列举个人应用分组。 |
cms:UpdateMyGroupInstances | 更新个人分组中的资源实例。 |
cms:UpdateMyGroups | 更新个人应用分组。 |
cms:TaskConfigCreate | 创建监控任务配置。 |
cms:TACK ServerlessConfigList | 列举监控任务配置。 |
ESS相关权限
权限名称(Action) | 说明 |
ess:CreateLifecycleHook | 为伸缩组创建一个或多个生命周期挂钩。 |
ess:DescribeLifecycleHooks | 查询生命周期挂钩。 |
ess:ModifyLifecycleHook | 修改生命周期挂钩。 |
ess:DeleteLifecycleHook | 删除生命周期挂钩。 |
ENS相关权限
权限名称(Action) | 说明 |
ens:Describe* | 获取边缘节点服务相关资源权限。 |
ens:CreateInstance | 创建边缘实例。 |
ens:StartInstance | 启动边缘实例。 |
ens:StopInstance | 停止边缘实例。 |
ens:ReleasePrePaidInstance | 释放包年包月实例。 |
AliyunCISDefaultRole
ACK容器智能运维包含的服务角色是AliyunCISDefaultRole,容器智能运维将使用该角色访问您在ECS、VPC、SLB等服务中的资源,以为您提供诊断和巡检等服务。
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DescribeInstanceStatus | 获取一台或多台ECS实例的状态信息。 |
ecs:DescribeInstanceTypes | 查询云服务器ECS提供的实例规格资源。 |
ecs:DescribeInstanceTypeFamilies | 查询云服务器ECS提供的实例规格族资源。 |
ecs:DescribeInstanceAttribute | 查询单个ECS实例详情。 |
ecs:CreateDiagnosticReport | 创建资源诊断报告。 |
ecs:DescribeDiagnosticReports | 查询资源诊断报告列表。 |
ecs:DescribeDiagnosticReportAttributes | 查询资源诊断详情。 |
ecs:DescribeDiagnosticMetricSets | 查询资源诊断集合列表。 |
ecs:DescribeDiagnosticMetrics | 查询诊断指标列表。 |
ecs:DescribeSecurityGroupAttribute | 查询一个安全组的安全组规则。 |
ecs:DescribeSecurityGroups | 查询安全组的基本信息。 |
ecs:DescribeSecurityGroupReferences | 查询一个安全组和其他哪些安全组有安全组级别的授权行为。 |
ecs:DescribeBandwidthLimitation | 查询带宽资源列表。 |
ecs:DescribeCloudAssistantStatus | 查询一台或者多台实例是否安装了云助手Agent。 |
ecs:DescribeCommands | 查询已经创建的云助手命令。 |
ecs:DescribeInvocationResults | 查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:CreateCommand | 新建一条云助手命令。 |
ecs:InvokeCommand | 为一台或多台ECS实例触发一条云助手命令。 |
ecs:StopInvocation | 停止一台或多台ECS实例中正在进行中(Running)的云助手命令进程。 |
ecs:RunCommand | 新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:DescribeVpcAttribute | 查询指定VPC的配置信息。 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
vpc:DescribeVSwitchAttributes | 查询交换机的配置信息。 |
vpc:DescribeRouteTableList | 查询路由表列表。 |
vpc:DescribeRouteEntryList | 查询路由条目列表。 |
vpc:DescribeNatGateways | 查询指定地域指定条件的NAT网关的详细信息。 |
vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
vpc:DescribeRouteTables | 查询路由表信息。 |
vpc:DescribeSnatTableEntries | 查询已创建的SNAT条目。 |
vpc:DescribeNetworkAcls | 查看网络ACL列表。 |
vpc:DescribeNetworkAclAttributes | 查询网络ACL的详细信息。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:DescribeVServerGroups | 查询服务器组列表。 |
slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查询TCP监听配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查询UDP监听的配置。 |
slb:DescribeAccessControlLists | 查询已创建的访问控制策略组。 |
slb:DescribeAccessControlListAttribute | 查询访问控制策略组的配置。 |
slb:DescribeLoadBalancerListeners | 查询负载均衡监听列表详情。 |
slb:DescribeHealthStatus | 查询后端服务器的健康状态。 |
SLS相关权限
权限名称(Action) | 说明 |
sls:GetLogStore | 查看Logstore的详细信息。 |
CS相关权限
权限名称(Action) | 说明 |
cs:DescribeClusterDetail | 查看集群的详细信息。 |
cs:DescribeClusterResources | 查询指定集群的所有资源。 |
cs:DescribeTasks | 查询指定集群Task。 |
cs:DescribeTaskInfo | 查询指定集群Task信息。 |
cs:DescribeClusterNodePools | 查询集群内所有节点池详情。 |
cs:DescribeNodePoolVuls | 查询指定集群节点池的漏洞列表。 |
cs:DescribeClusterAddonsUpgradeStatus | 查询多个组件的升级状态。 |
ECI相关权限
权限名称(Action) | 说明 |
eci:DescribeContainerGroups | 批量获取容器组信息。 |
eci:RunCommand | 在ECSI实例中执行Shell类型的脚本。 |
eci:DescribeCommandResult | 查看命令的执行结果。 |
eci:ListUsage | 查询指定地域的权益配额。 |
CMS相关权限
权限名称(Action) | 说明 |
cms:DescribeMetricData | 查询指定时间段内云服务的监控数据。 |
cms:DescribeMetricLast | 查询指定监控项的最新监控数据。 |
cms:DescribeMetricMetaList | 查询云监控开放的监控项描述。 |
cms:DescribeMetricTop | 查询排序后的指定云服务的监控数据。 |
cms:QueryMetricMeta | 查询云监控的监控项。 |
cms:QueryMetricTop | 查询指定云服务的监控数据。 |
cms:ListMetricMeta | 列出指标元数据。 |
cms:ListMetricMetaProject | 列出指标元项目。 |
cms:QueryMetricData | 查询云服务的监控数据。 |
cms:QueryMetricLast | 查询监控项的最新监控数据。 |
cms:DescribeMetricList | 查询指定云产品的指定监控项的监控数据。 |
cms:QueryMetricList | 查询云监控的监控项描述。 |
cms:MetricMeta | 查询云监控的监控项。 |
cms:DescribeAlertLogList | 查询最近的报警历史。 |
cms:DescribeSystemEventAttribute | 查询系统事件详情。 |
cms:GetMetricStreamMeta | 查询云监控的监控项描述信息。 |
QUOTAS相关权限
权限名称(Action) | 说明 |
quotas:ListProducts | 查询配额中心已支持的云服务列表。 |
quotas:ListProductQuotas | 查询目标云服务的配额列表。 |
quotas:ListProductQuotaDimensions | 查询目标云服务支持的配额维度。 |
quotas:GetProductQuota | 查询目标配额详情。 |
quotas:GetProductQuotaDimension | 查询目标云服务支持的配额维度详情。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:ListPoliciesForRole | 列举RAM Role Policy相关资源权限。 |
GRACE相关权限
权限名称(Action) | 说明 |
grace:GetFile | 获取ATP分析文件信息。 |
grace:AnalyzeFile | 在ATP平台分析文件。 |
grace:UploadFileByOSS | 通过OSS上传文件到ATP平台。 |
grace:UploadFileByURL | 通过URL上传文件到ATP平台。 |
AliyunCSManagedKubernetesRole
ACK托管集群使用AliyunCSManagedKubernetesRole角色来访问您在其他云产品中的资源。
ECS相关权限
权限名称(Action) | 说明 |
ecs:Describe* | 查询ECS相关资源。 |
ecs:CreateRouteEntry | 创建路由接口。 |
ecs:DeleteRouteEntry | 删除路由接口。 |
ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
ecs:ModifyInstanceAttribute | 修改实例属性。 |
ecs:AttachKeyPair | 绑定一个SSH密钥对到一台或多台Linux实例。 |
ecs:StopInstance | 停止运行一台实例。 |
ecs:StartInstance | 启动一台实例。 |
ecs:ReplaceSystemDisk | 更换一台ECS实例的系统盘或者操作系统。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:Describe* | 查询负载均衡相关资源。 |
slb:CreateLoadBalancer | 创建负载均衡实例。 |
slb:DeleteLoadBalancer | 删除负载均衡实例。 |
slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
slb:RemoveBackendServers | 移除后端服务器。 |
slb:AddBackendServers | 添加后端服务器。 |
slb:RemoveTags | 解绑指定负载均衡实例下的标签。 |
slb:AddTags | 为指定的负载均衡实例添加标签。 |
slb:StopLoadBalancerListener | 停止监听。 |
slb:StartLoadBalancerListener | 启动监听。 |
slb:SetLoadBalancerHTTPListenerAttribute | 修改HTTP监听的配置。 |
slb:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS监听的配置。 |
slb:SetLoadBalancerTCPListenerAttribute | 修改TCP监听的配置。 |
slb:SetLoadBalancerUDPListenerAttribute | 修改UDP协议监听的配置。 |
slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听规则。 |
slb:CreateLoadBalancerUDPListener | 创建UDP监听。 |
slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则。 |
slb:CreateVServerGroup | 向指定的后端服务器组中添加后端服务器。 |
slb:DescribeVServerGroups | 查询服务器组列表。 |
slb:DeleteVServerGroup | 删除服务器组。 |
slb:SetVServerGroupAttribute | 修改虚拟服务器组的配置。 |
slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
slb:AddVServerGroupBackendServers | 向指定的后端服务器组中添加后端服务器。 |
slb:ModifyLoadBalancerInstanceSpec | 修改负载均衡的实例规格。 |
slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:Describe* | 查询VPC相关资源的信息。 |
vpc:DeleteRouteEntry | 删除自定义路由条目。 |
vpc:CreateRouteEntry | 创建自定义路由条目。 |
ACR相关权限
权限名称(Action) | 说明 |
cr:Get* | 查询容器镜像服务相关资源。 |
cr:List* | 查看容器镜像仓库列表。 |
cr:PullRepository | 拉取镜像。 |
AliyunCSServerlessKubernetesRole
ACK Serverless使用AliyunCSServerlessKubernetesRole角色来访问您在其他云产品中的资源。
VPC相关权限
权限名称(Action) | 说明 |
DescribeVSwitches | 查询已创建的交换机。 |
DescribeVpcs | 查询已创建的VPC。 |
AssociateEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
DescribeEipAddresses | 查询指定地域已创建的EIP。 |
AllocateEipAddress | 申请弹性公网IP(EIP)。 |
ReleaseEipAddress | 释放指定的弹性公网IP(EIP)。 |
AddCommonBandwidthPackageIp | 添加EIP到共享带宽中。 |
RemoveCommonBandwidthPackageIp | 移除共享带宽实例中的EIP。 |
ECS相关权限
权限名称(Action) | 说明 |
DescribeSecurityGroups | 查询您创建的安全组的基本信息。 |
CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
AttachNetworkInterface | 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。 |
DetachNetworkInterface | 从一台ECS实例上分离一个弹性网卡(ENI)。 |
DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:Describe* | 查询负载均衡SLB相关资源。 |
slb:CreateLoadBalancer | 创建负载均衡实例。 |
slb:DeleteLoadBalancer | 删除后付费的负载均衡实例。 |
slb:RemoveBackendServers | 移除后端服务器。 |
slb:StartLoadBalancerListener | 启动监听。 |
slb:StopLoadBalancerListener | 停止监听。 |
slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则。 |
slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听规则。 |
slb:AddBackendServers* | 添加后端服务器。 |
slb:UploadServerCertificate | 上传服务器证书。 |
slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
slb:CreateLoadBalancerUDPListener | 创建UDP监听。 |
slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
slb:CreateRules | 为指定的HTTP或HTTPS监听添加转发规则。 |
slb:DeleteRules | 删除转发规则。 |
slb:SetRule | 修改目标虚拟服务器组的转发规则。 |
slb:CreateVServerGroup | 向指定的后端服务器组中添加后端服务器。 |
slb:SetVServerGroupAttribute | 修改虚拟服务器组的配置。 |
slb:AddVServerGroupBackendServers | 向指定的后端服务器组中添加后端服务器。 |
slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
slb:DeleteVServerGroup | 删除服务器组。 |
slb:SetLoadBalancerTCPListenerAttribute | 修改TCP监听的配置。 |
slb:SetLoadBalancerHTTPListenerAttribute | 修改HTTP监听的配置。 |
slb:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS监听的配置。 |
slb:AddTags | 为指定的负载均衡实例添加标签。 |
PVTZ(云解析)相关权限
权限名称(Action) | 说明 |
AddZone | 创建私有区域。 |
DeleteZone | 删除私有区域。 |
DescribeZones | 查询用户的区域列表。 |
DescribeZoneInfo | 获取指定区域的详细信息。 |
BindZoneVpc | 绑定或者解绑区域与VPC列表两者之间的关系。 |
AddZoneRecord | 添加私有区域的解析记录。 |
DeleteZoneRecord | 删除解析记录。 |
DescribeZoneRecords | 查询解析记录列表。 |
ACR相关权限
权限名称(Action) | 说明 |
Get* | 查询容器镜像服务相关资源。 |
List* | 查看容器镜像仓库列表。 |
PullRepository | 拉取镜像。 |
ECI相关权限
权限名称(Action) | 说明 |
CreateContainerGroup | 创建一个容器组。 |
DeleteContainerGroup | 删除一个容器组。 |
DescribeContainerGroups | 批量获取容器组信息。 |
DescribeContainerLog | 获取容器组日志信息。 |
UpdateContainerGroup | 更新实例。 |
UpdateContainerGroupByTemplate | 通过模板更新ECI实例。 |
CreateContainerGroupFromTemplate | 通过模板创建ECI实例。 |
RestartContainerGroup | 重启ECI实例。 |
ExportContainerGroupTemplate | 导出用户创建ECI的模板。 |
DescribeContainerGroupMetric | 查询一个ECI的监控信息。 |
DescribeMultiContainerGroupMetric | 同时查询多个容器组的监控信息。 |
ExecContainerCommand | 在容器内部执行命令。 |
CreateImageCache | 制作镜像缓存。 |
DescribeImageCaches | 查询镜像缓存信息。 |
DeleteImageCache | 删除镜像缓存。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:PassRole | 访问CodePipeline控制台。 |
OSS相关权限
权限名称(Action) | 说明 |
oss:GetObject | 获取文件或文件夹对象。 |
oss:GetObjectMeta | 获取一个文件(Object)的元数据信息。 |
FC相关权限
权限名称(Action) | 说明 |
fc:CreateService | 新建一个服务。 |
fc:ListServices | 获取服务列表。 |
fc:GetService | 获取指定服务。 |
fc:UpdateService | 更新指定服务。 |
fc:DeleteService | 删除指定服务。 |
fc:CreateFunction | 新建一个新函数。 |
fc:ListFunctions | 获取服务下的函数列表。 |
fc:GetFunction | 获取指定函数的配置信息。 |
fc:GetFunctionCode | 获取函数编码。 |
fc:UpdateFunction | 更新函数,包括配置和代码。 |
fc:DeleteFunction | 删除指定的函数。 |
fc:CreateTrigger | 创建函数触发器。 |
fc:ListTriggers | 获取函数下的触发器列表。 |
fc:GetTrigger | 获取指定触发器。 |
fc:UpdateTrigger | 更新指定函数触发器配置。 |
fc:DeleteTrigger | 删除指定函数的触发器。 |
fc:PublishServiceVersion | 发布函数计算服务版本。 |
fc:ListServiceVersions | 列举函数计算服务版本。 |
fc:DeleteServiceVersion | 删除函数计算服务版本。 |
fc:CreateAlias | 创建一个别名,并且将别名与一个用户主密钥绑定。 |
fc:ListAliases | 列出云账号在本地域的所有别名。 |
fc:GetAlias | 获取别名信息。 |
fc:UpdateAlias | 绑定指定别名到新的用户主密钥。 |
fc:DeleteAlias | 删除指定别名。 |
AliyunCSKubernetesAuditRole
ACK审计功能使用AliyunCSKubernetesAuditRole角色来访问您在其他云产品中的资源。
权限名称(Action) | 说明 |
log:CreateProject | 创建一个Project。 |
log:GetProject | 根据Project名称查询Project。 |
log:DeleteProject | 删除一个指定的Project。 |
log:CreateLogStore | 在Project下创建Logstore。 |
log:GetLogStore | 查看Logstore属性。 |
log:UpdateLogStore | 更新Logstore的属性。 |
log:DeleteLogStore | 删除Logstore。 |
log:CreateConfig | 创建日志采集配置。 |
log:UpdateConfig | 更新配置内容。 |
log:GetConfig | 获取采集配置的详细信息。 |
log:DeleteConfig | 删除指定的日志采集配置。 |
log:CreateMachineGroup | 根据需求创建一组机器,用于日志收集和下发配置。 |
log:UpdateMachineGroup | 更新机器组信息。 |
log:GetMachineGroup | 查看具体的MachineGroup信息。 |
log:DeleteMachineGroup | 删除机器组。 |
log:ApplyConfigToGroup | 将配置应用到机器组。 |
log:GetAppliedMachineGroups | 获得机器组上已经被应用的机器列表。 |
log:GetAppliedConfigs | 获得机器组上已经被应用的配置名称。 |
log:RemoveConfigFromMachineGroup | 从机器组中删除配置。 |
log:CreateIndex | 为指定Logstore创建索引。 |
log:GetIndex | 查询指定Logstore的索引。 |
log:UpdateIndex | 更新指定Logstore的索引。 |
log:DeleteIndex | 删除指定Logstore的索引。 |
log:CreateSavedSearch | 创建快速查询。 |
log:GetSavedSearch | 查看指定快速查询。 |
log:UpdateSavedSearch | 更新快速查询。 |
log:DeleteSavedSearch | 删除快速查询。 |
log:CreateDashboard | 创建仪表盘。 |
log:GetDashboard | 查看指定仪表盘。 |
log:UpdateDashboard | 更新仪表盘。 |
log:DeleteDashboard | 删除仪表盘。 |
log:CreateJob | 创建任务。例如创建告警、订阅。 |
log:GetJob | 查询任务。 |
log:DeleteJob | 删除任务。 |
log:UpdateJob | 更新任务。 |
log:PostLogStoreLogs | 向指定的Logstore写入日志数据。 |
AliyunCSManagedNetworkRole
ACK集群网络组件使用AliyunCSManagedNetworkRole角色来访问您在其他云产品中的资源。
权限名称(Action) | 说明 |
ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:AttachNetworkInterface | 附加弹性网卡(ENI)到专有网络(VPC)类型实例上。 |
ecs:DetachNetworkInterface | 从一台实例上分离一个弹性网卡(ENI)。 |
ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
ecs:DescribeInstanceAttribute | 查询一台或多台ECS实例部分信息。 |
ecs:AssignPrivateIpAddresses | 为一块弹性网卡分配一个或多个辅助私有IP地址。 |
ecs:UnassignPrivateIpAddresses | 从一块弹性网卡删除一个或多个辅助私有IP地址。 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
vpc:DescribeVSwitches | 查询一台或多台交换机的详细信息。 |
AliyunCSManagedCsiRole
ACK集群存储插件使用AliyunCSManagedCsiRole角色来访问您在其他云产品中的资源。
ECS相关权限
权限名称(Action) | 说明 |
ecs:AttachDisk | 为一台ECS实例挂载一块按量付费数据盘,或者挂载一块系统盘。 |
ecs:DetachDisk | 从一台实例上卸载一块按量付费磁盘。 |
ecs:DescribeDisks | 查询一块或多块您已经创建的云盘以及本地盘。 |
ecs:CreateDisk | 创建一块按量付费或包年包月数据盘。 |
ecs:ResizeDisk | 扩容一块云盘,支持扩容系统盘和数据盘。 |
ecs:CreateSnapshot | 为一块云盘创建一份快照。 |
ecs:DeleteSnapshot | 删除指定的快照。如果需要取消正在创建的快照,也可以调用该接口删除快照,即取消创建快照任务。 |
ecs:CreateAutoSnapshotPolicy | 创建一条自动快照策略。 |
ecs:ApplyAutoSnapshotPolicy | 为一块或者多块云盘应用自动快照策略。 |
ecs:CancelAutoSnapshotPolicy | 取消一块或者多块云盘的自动快照策略。 |
ecs:DeleteAutoSnapshotPolicy | 删除一条自动快照策略。 |
ecs:DescribeAutoSnapshotPolicyEX | 查询您已创建的自动快照策略。 |
ecs:ModifyAutoSnapshotPolicyEx | 修改一条自动快照策略。 |
ecs:AddTags | 为ECS节点添加标签。 |
ecs:DescribeTags | 查询标签。 |
ecs:DescribeSnapshots | 查询一台ECS实例或一块云盘所有的快照列表。 |
ecs:ListTagResources | 查询一个或多个ECS资源已经绑定的标签列表。 |
ecs:TagResources | 为指定的ECS资源列表统一创建并绑定标签。 |
ecs:UntagResources | 为指定的ECS资源列表统一解绑并删除标签。 |
ecs:ModifyDiskSpec | 升级一块ESSD云盘的性能等级。 |
ecs:CreateSnapshot | 为一块云盘创建一份快照。 |
ecs:DeleteDisk | 释放一块按量付费数据盘。 |
ecs:DescribeInstanceAttribute | 查询实例所有的属性信息。 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
NAS相关权限
权限名称(Action) | 说明 |
nas:DescribeFileSystems | 返回文件系统描述信息。 |
nas:DescribeMountTargets | 返回挂载点描述信息。 |
nas:AddTags | 添加或者覆盖一个或者多个标签到一个文件系统实例。 |
nas:DescribeTags | 查询已有标签。 |
nas:RemoveTags | 从一个文件系统实例上解绑一个或多个标签。 |
nas:CreateFileSystem | 创建新的文件系统。 |
nas:DeleteFileSystem | 删除已有文件系统。 |
nas:DescribeFileSystems | 返回文件系统描述信息。 |
nas:ModifyFileSystem | 修改文件系统信息。 |
nas:CreateMountTarget | 创建挂载点。 |
nas:DeleteMountTarget | 删除已有挂载点。 |
nas:DescribeMountTargets | 返回挂载点描述信息。 |
nas:ModifyMountTarget | 修改挂载点信息。 |
AliyunCSManagedCmsRole
ACK集群云监控组件使用AliyunCSManagedCmsRole角色来访问您在其他云产品中的资源。
权限名称(Action) | 说明 |
cms:DescribeMonitorGroups | 查询应用分组列表。 |
cms:DescribeMonitorGroupInstances | 查询指定应用分组内包含的资源列表。 |
cms:CreateMonitorGroup | 创建一个应用分组。 |
cms:DeleteMonitorGroup | 删除指定的应用分组。 |
cms:ModifyMonitorGroupInstances | 修改应用分组中的资源。 |
cms:CreateMonitorGroupInstances | 添加资源到应用分组。 |
cms:DeleteMonitorGroupInstances | 删除应用分组内的资源实例。 |
cms:TaskConfigCreate | 创建监控任务配置。 |
cms:TaskConfigList | 列举监控任务配置。 |
cms:DescribeMetricList | 查询指定时间段内的云产品时序指标监控数据。 |
cs:DescribeMonitorToken | 获取容器服务监控令牌。 |
ahas:GetSentinelAppSumMetric | 获取AHAS Sentinel应用监控指标。 |
log:GetLogStoreLogs | 查看Logstore日志。 |
slb:DescribeMetricList | 查询指定时间段内的云产品时序指标监控数据。 |
sls:GetLogs | 获取SLS服务中指定Project下某个Logstore中的日志数据。 |
sls:PutLogs | 更新SLS服务中指定Project下某个Logstore中的日志数据。 |
AliyunCSManagedLogRole
ACK集群日志组件使用AliyunCSManagedLogRole角色来访问您在其他云产品中的资源。
权限名称(Action) | 说明 |
log:CreateProject | 创建一个Project。 |
log:GetProject | 根据Project名称查询Project。 |
log:DeleteProject | 删除一个指定的Project。 |
log:CreateLogStore | 在Project下创建Logstore。 |
log:GetLogStore | 查看Logstore属性。 |
log:UpdateLogStore | 更新Logstore的属性。 |
log:DeleteLogStore | 删除Logstore。 |
log:CreateConfig | 创建日志采集配置。 |
log:UpdateConfig | 更新配置内容。 |
log:GetConfig | 获取采集配置的详细信息。 |
log:DeleteConfig | 删除指定的日志采集配置。 |
log:CreateMachineGroup | 根据需求创建一组机器,用于日志收集和下发配置。 |
log:UpdateMachineGroup | 更新机器组信息。 |
log:GetMachineGroup | 查看具体的MachineGroup信息。 |
log:DeleteMachineGroup | 删除机器组。 |
log:ApplyConfigToGroup | 将配置应用到机器组。 |
log:GetAppliedMachineGroups | 获得机器组上已经被应用的机器列表。 |
log:GetAppliedConfigs | 获得机器组上已经被应用的配置名称。 |
log:RemoveConfigFromMachineGroup | 从机器组中删除配置。 |
log:CreateIndex | 为指定Logstore创建索引。 |
log:GetIndex | 查询指定Logstore的索引。 |
log:UpdateIndex | 更新指定Logstore的索引。 |
log:DeleteIndex | 删除指定Logstore的索引。 |
log:CreateSavedSearch | 创建快速查询。 |
log:GetSavedSearch | 查看指定快速查询。 |
log:UpdateSavedSearch | 更新快速查询。 |
log:DeleteSavedSearch | 删除快速查询。 |
log:CreateDashboard | 创建仪表盘。 |
log:GetDashboard | 查看指定仪表盘。 |
log:UpdateDashboard | 更新仪表盘。 |
log:DeleteDashboard | 删除仪表盘。 |
log:CreateJob | 创建任务。例如创建告警、订阅。 |
log:GetJob | 查询任务。 |
log:DeleteJob | 删除任务。 |
log:UpdateJob | 更新任务。 |
log:PostLogStoreLogs | 向指定的Logstore写入日志数据。 |
log:CreateSortedSubStore | 创建排序子存储。 |
log:GetSortedSubStore | 获取排序子存储。 |
log:ListSortedSubStore | 列举排序子存储。 |
log:UpdateSortedSubStore | 更新排序子存储。 |
log:DeleteSortedSubStore | 删除排序子存储。 |
log:CreateApp | 日志服务APP(成本管家、日志审计)的创建权限。 |
log:UpdateApp | 日志服务APP(成本管家、日志审计)的更新权限。 |
log:GetApp | 日志服务APP(成本管家、日志审计)的查看权限。 |
log:DeleteApp | 日志服务APP(成本管家、日志审计)的删除权限。 |
cs:DescribeTemplates | 获取容器模板。 |
cs:DescribeTemplateAttribute | 获取容器模板属性。 |
AliyunCSManagedVKRole
ACK集群Virtual Node组件使用AliyunCSManagedVKRole角色来访问您在其他云产品中的资源。
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:AssociateEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
vpc:AllocateEipAddress | 申请弹性公网IP(EIP)。 |
vpc:ReleaseEipAddress | 释放指定的弹性公网IP(EIP)。 |
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeSecurityGroups | 查询您创建的安全组的基本信息。 |
ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:AttachNetworkInterface | 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。 |
ecs:DetachNetworkInterface | 从一台ECS实例上分离一个弹性网卡(ENI)。 |
ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
VPTZ相关权限
权限名称(Action) | 说明 |
pvtz:AddZone | 创建私有区域。 |
pvtz:DeleteZone | 删除私有区域。 |
pvtz:DescribeZones | 查询用户的区域列表。 |
pvtz:DescribeZoneInfo | 获取指定区域的详细信息。 |
pvtz:BindZoneVpc | 绑定或者解绑区域与VPC列表两者之间的关系。 |
pvtz:AddZoneRecord | 添加私有区域的解析记录。 |
pvtz:DeleteZoneRecord | 删除解析记录。 |
pvtz:DescribeZoneRecords | 查询解析记录列表。 |
ECI相关权限
权限名称(Action) | 说明 |
eci:CreateContainerGroup | 创建一个容器组。 |
eci:DeleteContainerGroup | 删除一个容器组。 |
eci:DescribeContainerGroups | 批量获取容器组信息。 |
eci:DescribeContainerLog | 获取容器组日志信息。 |
eci:UpdateContainerGroup | 更新实例。 |
eci:UpdateContainerGroupByTemplate | 通过模板更新ECI实例。 |
eci:CreateContainerGroupFromTemplate | 通过模板创建ECI实例。 |
eci:RestartContainerGroup | 重启ECI实例。 |
eci:ExportContainerGroupTemplate | 导出用户创建ECI的模板。 |
eci:DescribeContainerGroupMetric | 查询一个ECI的监控信息。 |
eci:DescribeMultiContainerGroupMetric | 同时查询多个容器组的监控信息。 |
eci:ExecContainerCommand | 在容器内部执行命令。 |
eci:CreateImageCache | 制作镜像缓存。 |
eci:DescribeImageCaches | 查询镜像缓存信息。 |
eci:DeleteImageCache | 删除镜像缓存。 |
AliyunCSManagedArmsRole
ACK集群应用实时监控插件使用AliyunCSManagedArmsRole角色来访问您在其他云产品中的资源。
权限名称(Action) | 说明 |
arms:CreateApp | 创建应用监控。 |
arms:DeleteApp | 删除应用监控。 |
arms:ConfigAgentLabel | 修改应用监控Agent的标签。 |
arms:GetAssumeRoleCredentials | 获取应用监控角色扮演密钥凭证。 |
arms:CreateProm | 创建阿里云Prometheus监控。 |
arms:SearchEvents | 查询报警事件记录。 |
arms:SearchAlarmHistories | 查询告警历史发送记录。 |
arms:SearchAlertRules | 查询监控告警规则。 |
arms:GetAlertRules | 获取监控告警规则。 |
arms:CreateAlertRules | 创建监控告警规则。 |
arms:UpdateAlertRules | 更新监控告警规则。 |
arms:StartAlertRule | 启动监控告警规则。 |
arms:StopAlertRule | 停止监控告警规则。 |
arms:CreateContact | 创建告警联系人。 |
arms:SearchContact | 查询告警联系人。 |
arms:UpdateContact | 更新告警联系人。 |
arms:CreateContactGroup | 创建告警联系人分组。 |
arms:SearchContactGroup | 查询告警联系人分组。 |
arms:UpdateContactGroup | 更新告警联系人分组。 |
AliyunCSManagedAcrRole
ACK托管集群和ACK Serverless集群的镜像拉取免密插件使用该角色访问您在ACR容器镜像服务中的资源。
权限名称(Action) | 说明 |
cr:GetAuthorizationToken | 获取用于登录实例的临时账号和临时密码。 |
cr:ListInstanceEndpoint | 查询实例网络访问入口列表。 |
cr:PullRepository | 拉取镜像。 |
AliyunCSManagedNlcRole
ACK托管集群的托管节点池控制组件使用该角色访问您的ECS和ACK节点池资源。
ECS相关权限
权限名称(Action) | 说明 |
ecs:ModifyInstanceAttribute | 修改一台ECS实例的部分信息,包括实例密码、名称、描述、主机名、所属安全组和自定义数据等。如果是突发性能实例,还可以切换这台实例的性能突发模式。 |
ecs:AttachKeyPair | 绑定一个SSH密钥对到一台或多台Linux实例。 |
ecs:StopInstance | 停止一台运行中(Running)的ECS实例。成功调用接口后,实例从停止中(Stopping)变成已停止(Stopped)状态。 |
ecs:StartInstance | 启动一台ECS实例,接口调用成功后实例进入启动中状态。 |
ecs:DescribeInvocations | 查询云助手命令的执行列表和状态。 |
ecs:DescribeInstanceAttribute | 查询实例所有的属性信息,例如实例ID、实例的备注信息。 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DeleteInstance | 释放一台按量付费实例或者到期的包年包月实例。 |
ecs:RunCommand | 在一台或多台ECS实例中执行一段Shell、PowerShell或者Bat类型的脚本。 |
ecs:DescribeInvocationResults | 查看一条或多条云助手命令的执行结果,即在ECS实例中的实际执行结果。 |
ecs:ReplaceSystemDisk | 更换一台ECS实例的系统盘或者操作系统。系统盘的云盘ID会发生变化,原云盘会被释放。 |
ecs:DescribeUserData | 查询一台ECS实例的自定义数据。 |
ESS相关权限
权限名称 | 说明 |
ess:DescribeScalingGroups | 查询伸缩组。 |
ess:DescribeScalingConfigurations | 查询伸缩配置的信息。 |
CS相关权限
权限名称(Action) | 说明 |
cs:RepairClusterNodePool | 修复指定的托管节点池内指定节点存在的问题。 |
cs:DescribeClusterNodePoolDetail | 根据节点池ID,查询集群中该节点池的详情。 |
cs:DescribeTaskInfo | 根据任务ID,查询该任务执行详情。 |
cs:FixNodePoolVuls | 自动修复指定集群节点池的漏洞。 |
cs:DescribeTaskInfo | 根据任务ID,查询该任务执行详情。 |
cs:CancelTask | 取消集群任务执行。 |
cs:PauseTask | 暂停执行中的集群任务。 |
cs:ResumeTask | 恢复已暂停的集群任务。 |
cs:DescribeNodePoolVuls | 查询指定集群节点池的漏洞列表。 |
AliyunCSManagedAutoScalerRole
ACK托管集群和ACK Serverless集群的弹性伸缩组件使用该角色访问您在ESS和ECS服务中的资源。
ESS相关权限
权限名称(Action) | 说明 |
ess:DescribeScalingGroups | 查询伸缩组。 |
ess:DescribeScalingInstances | 查询伸缩组内ECS实例的列表,并列出ECS实例的信息。 |
ess:DescribeScalingActivities | 查询伸缩活动。 |
ess:DescribeScalingConfigurations | 查询伸缩配置的信息。 |
ess:DescribeScalingRules | 查询伸缩组下的伸缩规则,并列出伸缩规则的信息。 |
ess:DescribeScheduledTasks | 查询定时任务的信息。 |
ess:DescribeLifecycleHooks | 查询生命周期挂钩。 |
ess:DescribeNotificationConfigurations | 查询您创建的弹性伸缩事件及资源变化通知。 |
ess:DescribeNotificationTypes | 查询弹性伸缩事件及资源变化通知的类型。 |
ess:DescribeRegions | 查询可以使用弹性伸缩服务的地域。 |
ess:CreateScalingRule | 创建一条伸缩规则。 |
ess:ModifyScalingGroup | 修改一个伸缩组。 |
ess:RemoveInstances | 从一个伸缩组删除一台或多台ECS实例或ECI实例。 |
ess:ExecuteScalingRule | 执行一条伸缩规则。 |
ess:ModifyScalingRule | 修改一条伸缩规则。 |
ess:DeleteScalingRule | 删除一条伸缩规则。 |
ess:DetachInstances | 从一个伸缩组移出一台或多台ECS实例或ECI实例。 |
ess:CompleteLifecycleAction | 提前结束伸缩活动的等待状态。 |
ess:ScaleWithAdjustment | 基于指定调整规则触发弹性扩缩容。 |
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeInstanceTypes | 查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。 |
ecs:DescribeImages | 查询您可以使用的OS镜像资源。 |
CS相关权限
权限名称(Action) | 说明 |
cs:DeleteClusterNodes | 根据节点名称,移除集群中指定节点。 |
cs:DescribeClusterNodes | 根据集群ID,查询该集群中的所有节点的详情。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询可组网的信息,内网按vSwitch进行组网。 |
AliyunCSManagedSecurityRole
ACK托管集群和ACK Serverless集群的落盘加密插件使用该角色访问您在KMS服务中的资源。
KMS相关权限
权限名称(Action) | 说明 |
kms:GetSecretValue | 获取凭据值。 |
kms:ListSecrets | 查询当前用户在当前地域创建的所有凭据。 |
kms:ListKeys | 查询调用者在调用地域的所有主密钥ID。 |
kms:ListSecretVersionIds | 查询凭据的所有版本信息。 |
kms:ListAliasesByKeyId | 查询与指定主密钥(CMK)对应的所有别名。 |
kms:SetDeletionProtection | 为用户主密钥(CMK)开启或关闭删除保护。 |
kms:DescribeKey | 查询用户主密钥(CMK)详情。 |
kms:Encrypt | 使用对称主密钥(Symmetric CMK)将明文加密为密文。 |
kms:Decrypt | 解密CiphertextBlob中的密文。 |
AliyunCSManagedCostRole
ACK托管集群和ACK Serverless集群的成本分析组件使用该角色访问您在账单管理API、ECS和ECI服务中的资源。
BSS OpenAPI相关权限
权限名称(Action) | 说明 |
bssapi:QueryInstanceBill | 查询用户某个账期内所有商品实例或计费项的消费汇总。API已升级为DescribeInstanceBill,此API不再提供50000行以后数据的查询。 |
bssapi:DescribeInstanceBill | 查询用户某个账期内所有商品实例或计费项的消费汇总。 |
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeDisks | 查询一块或多块已经创建的块存储(包括云盘和本地盘)。 |
ecs:DescribeSpotPriceHistory | 查询抢占式实例近30天内的历史价格。 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DescribePrice | 查询云服务器ECS资源的最新价格。 |
ECI相关权限
权限名称(Action) | 说明 |
eci: DescribeContainerGroupPrice | 查询实例的价格。 |
AliyunCSManagedNimitzRole
ACK灵骏集群的网络组件使用该角色访问您在智能计算灵骏服务中的资源。
eflo相关权限
权限名称 | 说明 |
eflo:ListNetworkInterfaces | 查询灵骏网卡列表信息。 |
eflo:GetNetworkInterface | 查询某张网卡实例信息。 |
eflo:AssignPrivateIpAddress | 为当前的灵骏网卡申请辅助私网IP,以及可选自动分配辅助MAC地址。 |
eflo:UnAssignPrivateIpAddress | 将分配的辅助私网IP地址删除。 |
eflo:UpdateNetworkInterfacePrivateMac | 修改私网IP的MAC地址。 |
AliyunCSManagedBackupRestoreRole
ACK托管集群的备份中心组件使用该角色访问您在云备份(Cloud Backup)服务和OSS服务中的资源。
云备份相关权限
权限名称(Action) | 说明 |
hbr:CreateVault | 创建一个备份仓库。 |
hbr:CreateBackupJob | 创建一个手动备份任务。 |
hbr:DescribeVaults | 获取一个或者多个符合条件的备份仓库信息。 |
hbr:DescribeBackupJobs2 | 查询一个或者多个符合条件的备份任务。 |
hbr:DescribeRestoreJobs | 查询一个备份恢复任务。 |
hbr:SearchHistoricalSnapshots | 获取一个或者多个符合条件的历史备份快照。 |
hbr:CreateRestoreJob | 创建一个恢复任务。 |
hbr:AddContainerCluster | 注册一个容器集群。 |
hbr:DescribeContainerCluster | 查询符合条件的一个或多个容器集群。 |
hbr:DescribeRestoreJobs2 | 查询一个或者多个符合条件的恢复任务。 |
OSS相关权限
权限 | 说明 |
oss:PutObject | 上传文件(Object)。 |
oss:IsObjectExist | 判断文件对象是否存在。 |
oss:ListObjects | 列举存储空间(Bucket)中所有文件(Object)的信息。 |
oss:GetObject | 获取某个文件(Object)。 |
oss:DeleteObject | 删除文件(Object)。 |
oss:GetBucket | 获取桶信息。 |
AliyunCSManagedEdgeRole
ACK Edge集群的管控组件使用该角色访问您在SLB、VPC、ENS等服务中的资源。
SLB相关权限
权限名称(Action) | 说明 |
slb:CreateLoadBalancer | 创建负载均衡实例。 |
slb:DeleteLoadBalancer | 删除负载均衡实例。 |
slb:DescribeLoadBalancers | 查询已经创建的负载均衡实例。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:CreateAccessControlList | 创建访问控制策略组。 |
slb:DeleteAccessControlList | 删除访问控制策略组。 |
slb:AddAccessControlListEntry | 在访问控制策略组中添加IP条目。 |
slb:RemoveAccessControlListEntry | 在访问控制策略组中删除IP条目。 |
slb:DescribeAccessControlListAttribute | 查询访问控制策略组的配置。 |
slb:DescribeAccessControlLists | 查询已经创建的访问控制实例。 |
slb:TagResources | 为资源打标。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:AllocateEipAddress | 分配EIP地址。 |
vpc:AssociateEipAddress | 关联EIP地址。 |
vpc:UnassociateEipAddress | 解绑EIP地址。 |
vpc:ReleaseEipAddress | 释放弹性公网IP。 |
vpc:DescribeEipAddresses | 查询EIP配置。 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:DescribeRouteEntryList | 查询路由条目列表。 |
ENS相关权限
权限名称(Action) | 说明 |
ens:CreateLoadBalancer | 创建负载均衡实例。 |
ens:ReleaseInstance | 释放负载均衡实例。 |
ens:SetLoadBalancerStatus | 修改一个负载均衡实例的状态。 |
ens:ModifyLoadBalancerAttribute | 修改一个负载均衡实例的信息。 |
ens:SetBackendServers | 设置后端服务器权重。 |
ens:AddBackendServers | 添加后端服务器。 |
ens:RemoveBackendServers | 移除后端服务器。 |
ens:CreateLoadBalancerUDPListener | 创建UDP监听。 |
ens:SetLoadBalancerUDPListenerAttribute | 修改UDP协议监听的配置。 |
ens:CreateLoadBalancerTCPListener | 创建TCP监听。 |
ens:SetLoadBalancerTCPListenerAttribute | 修改TCP监听的配置。 |
ens:StartLoadBalancerListener | 启动监听。 |
ens:StopLoadBalancerListener | 停止监听。 |
ens:DeleteLoadBalancerListener | 删除监听。 |
ens:CreateLoadBalancerHTTPListener | 创建HTTP监听。 |
ens:SetLoadBalancerHTTPListenerAttribute | 修改HTTP协议监听的配置。 |
ens:CreateLoadBalancerHTTPSListener | 创建HTTPS监听。 |
ens:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS协议监听的配置。 |
ens:CreateEipInstance | 创建EIP实例。 |
ens:ModifyEnsEipAddressAttribute | 修改指定EIP的名称、描述信息。 |
ens:AssociateEnsEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
ens:UnAssociateEnsEipAddress | 弹性公网IP(EIP)从绑定的云产品上解绑。 |
ens:DescribeNetworks | 查询专用网络列表。 |
ens:DescribeInstances | 查询一台或多台实例的详细信息。 |
ens:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
ens:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
ens:DescribeLoadBalancerUDPListenerAttribute | 查询UDP监听的配置。 |
ens:DescribeLoadBalancerTCPListenerAttribute | 查询TCP监听配置。 |
ens:DescribeLoadBalancerHTTPListenerAttribute | 查询HTTP监听的配置。 |
ens:DescribeLoadBalancerHTTPSListenerAttribute | 查询HTTPS监听的配置。 |
ens:DescribeEnsEipAddresses | 查询已创建的EIP。 |