设置RAM角色
本文介绍如何为ECI Pod设置RAM角色,以便ECI Pod可以访问其他阿里云产品。
背景信息
RAM角色是一种具备某些权限的虚拟用户,可以被ECI Pod(即ECI实例)扮演,从而使得ECI Pod获得相应的权限。使用RAM角色,无需在ECI Pod中保存AccessKey,通过修改RAM角色的权限即可变更ECI Pod的权限,在使用上安全便捷。更多关于RAM角色的信息,请参见RAM角色概览。
前提条件
已创建RAM角色并进行授权。
创建RAM角色时,请确保RAM角色的受信服务为云服务器。具体操作,请参见创建可信实体为阿里云服务的RAM角色和为RAM角色授权。
如果您使用RAM用户操作,请确保RAM用户具有
ram:passRole权限。
配置说明
您可以通过k8s.aliyun.com/eci-ram-role-name的Annotation为ECI Pod设置RAM角色,授予Pod访问阿里云产品的能力。
说明
一个ECI Pod只能设置一个RAM角色。
配置示例如下:
apiVersion: apps/v1
kind: Deployment
metadata:
name: test
labels:
app: test
spec:
replicas: 2
selector:
matchLabels:
app: nginx
template:
metadata:
name: nginx-test
labels:
app: nginx
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ram-role-name : "${your_ram_role_name}" #设置RAM角色
spec:
containers:
- name: nginx
image: registry.cn-shanghai.aliyuncs.com/eci_open/nginx:1.14.2
ports:
- containerPort: 80