在常见的多租场景下,阿里云容器计算服务ACS会为不同用户角色签发带有其身份信息的kubeconfig凭证用于连接集群。当企业内部员工离职或是某签发kubeconfig疑似泄露等情况发生时,吊销该集群的kubeconfig可有效保障集群的安全。本文介绍阿里云账号(主账号)或RAM用户如何吊销已经分发的用户kubeconfig凭证。
使用须知
吊销kubeconfig凭证包含以下两种场景:
阿里云账号(主账号)吊销其管理范围内(其所有RAM用户)的kubeconfig凭证。
RAM用户吊销自身的kubeconfig凭证。
吊销集群的kubeconfig凭证后,系统会自动分配新的kubeconfig凭证。
阿里云账号(主账号)吊销其RAM用户的kubeconfig凭证
仅支持阿里云账号(主账号)吊销其他RAM用户或RAM角色的kubeconfig凭证。
您可以使用阿里云账号(主账号)登录控制台,进行如下操作。
登录容器计算服务控制台,在左侧导航栏选择授权管理。
在子账号页签的用户列表,单击目标RAM用户对应的管理KubeConfig,获取该RAM用户创建的集群列表,然后按照对话框提示完成目标集群的吊销操作。
RAM用户吊销自身的kubeconfig凭证
您可以使用RAM用户登录控制台,进行如下操作。
吊销kubeconfig后,对应RAM用户无法再使用此kubeconfig连接集群。请谨慎操作。
登录容器计算服务控制台,在左侧导航栏选择集群。
在集群页面,单击目标集群ID,然后在左侧导航栏,选择集群信息。
单击连接信息页签,然后单击红色按钮吊销 KubeConfig,单击确定。
吊销离职员工或非受信用户的kubeconfig凭证
对于离职员工或非受信用户,请您务必先使用阿里云账号(主账号)吊销离职用户的kubeconfig权限,然后再删除对应的RAM用户或RAM角色。因为仅删除RAM用户或RAM角色并不会同步删除该用户或角色拥有的集群kubeconfig中的RBAC权限。
请您务必确保指定集群的kubeconfig没有业务依赖时,再吊销离职员工或非受信用户的kubeconfig权限,然后再删除RAM用户账号。具体操作,请参见阿里云账号(主账号)吊销其RAM用户的kubeconfig凭证。