吊销集群的kubeconfig凭证

在常见的多租场景下,阿里云容器计算服务ACS会为不同用户角色签发带有其身份信息的kubeconfig凭证用于连接集群。当企业内部员工离职或是某签发kubeconfig疑似泄露等情况发生时,吊销该集群的kubeconfig可有效保障集群的安全。本文介绍阿里云账号(主账号)或RAM用户如何吊销已经分发的用户kubeconfig凭证。

使用须知

吊销kubeconfig凭证包含以下两种场景:

  • 阿里云账号(主账号)吊销其管理范围内(其所有RAM用户)的kubeconfig凭证。

  • RAM用户吊销自身的kubeconfig凭证。

吊销集群的kubeconfig凭证后,系统会自动分配新的kubeconfig凭证。

阿里云账号(主账号)吊销其RAM用户的kubeconfig凭证

重要

仅支持阿里云账号(主账号)吊销其他RAM用户或RAM角色的kubeconfig凭证。

您可以使用阿里云账号(主账号)登录控制台,进行如下操作。

  1. 登录容器计算服务控制台,在左侧导航栏选择授权管理

  2. 子账号页签的用户列表,单击目标RAM用户对应的管理KubeConfig,获取该RAM用户创建的集群列表,然后按照对话框提示完成目标集群的吊销操作。

RAM用户吊销自身的kubeconfig凭证

您可以使用RAM用户登录控制台,进行如下操作。

重要

吊销kubeconfig后,对应RAM用户无法再使用此kubeconfig连接集群。请谨慎操作。

  1. 登录容器计算服务控制台,在左侧导航栏选择集群

  2. 集群页面,单击目标集群ID,然后在左侧导航栏,选择集群信息

  3. 单击连接信息页签,然后单击红色按钮吊销 KubeConfig,单击确定

吊销离职员工或非受信用户的kubeconfig凭证

对于离职员工或非受信用户,请您务必先使用阿里云账号(主账号)吊销离职用户的kubeconfig权限,然后再删除对应的RAM用户或RAM角色。因为仅删除RAM用户或RAM角色并不会同步删除该用户或角色拥有的集群kubeconfig中的RBAC权限。

重要

请您务必确保指定集群的kubeconfig没有业务依赖时,再吊销离职员工或非受信用户的kubeconfig权限,然后再删除RAM用户账号。具体操作,请参见阿里云账号(主账号)吊销其RAM用户的kubeconfig凭证