管理ACK One服务关联角色_容器服务Kubernetes版-阿里云帮助中心

ACK One服务关联角色（AliyunServiceRoleForAdcp）是访问控制RAM（Resource Access Management）提供的一种服务关联角色，用于授权分布式云容器平台ACK One访问关联云资源。本文介绍如何创建和删除ACK One服务关联角色。

背景信息

服务关联角色是与云服务关联的角色。通过ACK One服务关联角色（AliyunServiceRoleForAdcp），ACK One可以获得阿里云容器服务ACK、专有网络VPC、负载均衡SLB等资源的访问权限。更多服务关联角色的说明，请参见服务关联角色。

注意事项

如果您使用的是阿里云账号，则默认有创建ACK One服务关联角色的权限。

如果您使用的是RAM用户或RAM角色，您需要为RAM用户或RAM角色授予创建ACK One服务关联角色的权限，以下为需要授予的权限策略（CreateServiceLinkedRole）。具体操作，请参见为RAM用户授权和为RAM角色授权。

{
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "adcp.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}

权限说明

ACK One服务关联角色AliyunServiceRoleForAdcp具备以下云服务的访问权限。更多信息，请参见服务关联角色策略内容。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:CreateSecurityGroupPermissions",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeAccountAttributes",
                "ecs:DescribeSecurityGroups",
                "ecs:AuthorizeSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroupEgress",
                "ecs:DescribeNetworkInterfaces"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:DescribeVpcAttribute",
                "vpc:DescribeVSwitchAttributes",
                "vpc:AllocateEipAddress",
                "vpc:AssociateEipAddress",
                "vpc:UnassociateEipAddress",
                "vpc:ReleaseEipAddress",
                "vpc:DescribeEipAddresses",
                "vpc:TagResources",
                "vpc:DeletionProtection"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "slb:DescribeLoadBalancerAttribute",
                "slb:CreateLoadBalancer",
                "slb:DeleteLoadBalancer",
                "slb:StartLoadBalancerListener",
                "slb:StopLoadBalancerListener",
                "slb:CreateLoadBalancerTCPListener",
                "slb:CreateLoadBalancerHTTPListener",
                "slb:DeleteLoadBalancerListener",
                "slb:AddTags",
                "slb:RemoveTags",
                "slb:SetLoadBalancerDeleteProtection",
                "slb:SetLoadBalancerModificationProtection"
            ],
            "Resource": "*"
        }
    ]
}

创建ACK One服务关联角色

当您使用ACK One时，系统会检查当前账号是否已有AliyunServiceRoleForAdcp。如果不存在则会弹出提示信息，在ACK One提示页面单击确定，系统会自动创建ACk One服务关联角色。

说明服务关联角色包含的权限策略由对应的云服务定义和使用，您不能为服务关联角色添加、修改或删除权限。您可以在角色详情中查看角色包含的权限策略等信息。具体操作，请参见查看RAM角色基本信息。

删除ACk One服务关联角色

删除ACK One服务关联角色AliyunServiceRoleForAdcp后，您将无法访问阿里云容器服务ACK、专有网络VPC、负载均衡SLB等相关资源。删除AliyunServiceRoleForAdcp的操作步骤如下。

说明

删除AliyunServiceRoleForAdcp前，必须先删除当前阿里云账号下所有地域中的ACK One主控实例，否则会提示删除失败。
一个阿里云账号下只有一个AliyunServiceRoleForAdcp，删除AliyunServiceRoleForAdcp后，阿里云账号和RAM用户都将无法再创建和使用ACK One主控实例。

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色页面的搜索框中，输入AliyunServiceRoleForAdcp并搜索。
找到AliyunServiceRoleForAdcp角色名称，单击其右侧操作列下的删除。
在弹出的删除角色对话框中，单击确定。