在使用RAM账号调用阿里云API前,需要主账号通过创建授权策略对RAM账号进行授权。

资源授权

默认子账号没有权限通过调用阿里云API去创建、修改云资源。使用子账号调用API时,您需要先创建一个授权策略,然后将这个授权策略关联给对应的子账号完成资源授权。

在创建授权策略时,您可以通过ARN (Aliyun Resource Name) 指定要授权的资源。ARN 是阿里云为每个资源定义的一个全局的阿里云资源名称。

ARN格式如下。

acs:service-name:region:account-id:resource-relative-id

其中:

  • acs:Alibaba Cloud Service的首字母缩写,表示阿里云的公共云平台。
  • service-name:阿里云云服务的名称,如ecs, oss, slb等。
  • region:地域信息。如果不支持该项,可以使用通配符星号(*)来代替。

  • account-id:账号ID,例如1234567890123456。

  • resource-relative-id:具体的资源描述,不同的云产品的资源描述也不同,详情参见各云产品的开发文档。

    例如acs:oss::1234567890123456:sample_bucket/file1.txt表示OSS服务中对象名称是sample_bucket/file1.txt的资源,对象的所有者是UID为1234567890123456

可授权的容器服务Kubernetes版类型

资源类型 授权策略中的资源描述方法
授予单集群权限
"Resource": [
     "acs:cs:*:*:cluster/集群ID"
 ]
"Resource": [
     "acs:cs:*:*:cluster/集群ID",
     "acs:cs:*:*:cluster/集群ID"
 ]
授予多个集群的权限
授予所有集群的权限
"Resource": [
     "*"
 ]

可授权的容器服务Kubernetes版接口

容器服务Kubernetes版中可授权的API及其描述方式如下表。

API 说明
CreateCluster 创建Kubernetes集群。
ScaleOutCluster 扩容Kubernetes集群。
AttachInstances 添加已有ECS实例到Kubernetes集群。
DescribeClusterAttachScripts 获取手动添加节点到Kubernetes集群的脚本。
DescribeClusterUserKubeconfig 获取集群kubeconfig接口。
ModifyClusterTags 修改集群tag接口
DescribeClusterDetail 查询集群实例。
DescribeClusters 查询所有集群实例。
DeleteClusterNodes 移除节点。
DeleteCluster 删除集群。
DescribeClusterAddonUpgradeStatus 查询集群Addons升级状态。
UnInstallClusterAddons 卸载集群Addons。
DescribeClusterAddonsVersion 查询集群Addons详情。
ListTagResources 查看资源Tag列表。
CancelClusterUpgrade 取消集群升级。
CreateTemplate 创建部署模板。
DeleteTemplate 删除部署模板。
CreateTriggerHook 创建触发器。
DeleteTriggerHook 删除触发器。
DescribeClusterLogs 查看集群日志。
DescribeExternalAgent 查看额外代理。
DescribeTemplates 查看部署模板。
DescribeUserQuota 查看用户配额。
GetUpgradeStatus 查看集群升级状态。
InstallClusterAddons 安装集群插件。
ModifyCluster 修改指定集群。
PauseClusterUpgrade 暂停集群升级。
RemoveClusterNodes 移除集群节点。
ResumeUpgradeCluster 重新开始集群升级。
UpdateTemplate 更新部署模板。
UpgradeCluster 升级集群。
DescribeClusterNodes 查看集群节点。
UpgradeClusterAddons 升级集群插件。