邀测版本使用注意事项

授权管理

1. Q：RAM用户或者RAM角色需要访问容器计算服务（ACS）管理控制台，主账号需要如何为RAM用户或者RAM角色授权？

   A：如果您作为主账号需要给RAM用户或者RAM角色授予容器计算服务（ACS）管理控制台使用权限，请参见授权最佳实践，根据文档中说明授权自定义RAM策略。

2. Q： RAM用户或者RAM角色已经被通过RAM授权授予集群创建和查看详情权限，但是RAM用户或者RAM角色访问集群控制台仍提示没有操作集群资源的权限？

   A：如果您是RAM用户或RAM角色，除了请主账号授予容器计算服务（ACS）管理控制台使用权限以外，遵守最小授权原则，RAM用户或RAM角色默认在首次访问任一集群控制台的时候，会提示没有集群资源操作权限，如果您需要操作集群资源，还需要请主账号授予指定集群RBAC权限，请参见配置RAM用户或RAM角色RBAC权限。

3. 如果您同时是容器服务（ACK）的用户，具有将ACK集群授予RAM用户或RAM角色的集群RBAC权限。由于当前ACS集群与ACK关联，可能会存在授权间接影响，请注意以下情况：

• 情况一：如果您在通过ACK控制台对该RAM用户或者RAM角色授予集群RBAC权限的时候，授权范围已选择所有集群，将同时归属于该主账号的ACS集群授予该RAM用户或者RAM角色指定的集群RBAC权限，并作用于“授权”操作以后的所有ACS集群。

  

  所以，当您已经通过容器服务（ACK）的管理控制台对目标RAM用户或者RAM角色授予过“所有集群”权限，那您将在进行容器计算服务（ACS）管理控制台中“授权管理”操作时，看到以下提示，

  

  如果您需要修改指定ACS集群对该RAM用户或者RAM角色的授权范围，需要返回至ACK控制台，取消对“所有集群”的授权，改为单个集群授权。这样就可以通过ACS控制台对指定ACS集群为该RAM用户或者RAM角色做差异化RBAC授权。

• 情况二：如果您先通过ACS控制台将ACS的集群RBAC权限授予某个RAM用户或者RAM角色，再通过ACK控制台对该RAM用户或者RAM角色授予集群RBAC权限的时候，将看到ACS集群的RBAC授权记录，且集群信息是集群ID而不是集群名。

  重要

  请注意不要误删该条记录，否则提交授权将同时删除ACS控制台中对ACS集群的RBAC授权。

  

ACS控制台在邀测版本仍存在以上不足，为您的使用造成不便，深表歉意！我们正在加紧处理，将在产品公测版本解决产品间集群授权耦合的问题。