容器服务ACK已于2023年01月30日对ACK Pro集群落盘加密功能进行鉴权加固,加固后用户阿里云账号下的RAM用户或RAM角色需要同时满足RAM权限和容器服务ACK授权管理预置RBAC权限的双重鉴权,才能进行开启或关闭落盘加密功能的相关操作。

变更影响

ACK Pro集群落盘加密功能鉴权加固后,RAM用户或RAM角色对集群进行开启或关闭落盘加密操作时,需要同时具备如下权限。

  1. 绑定的RAM权限策略中包含cs:UpdateKMSEncryption。
  2. RAM用户或RAM角色在目标集群中,已被授予容器服务ACK预置管理员或运维人员权限。

如果您使用的RAM用户或RAM角色之前可以正常操作落盘加密功能。鉴权加固后,您在容器服务控制台进行落盘加密的变更操作时,遇到如下错误提示问题,请根据提示进行对应的授权操作。

授予RAM权限策略

由权限管理员为当前RAM用户或RAM角色增加权限,新增如下RAM权限策略内容。具体操作,请参见修改自定义权限策略内容和备注

  {
      "Action": [
          "cs:UpdateKMSEncryption"
      ],
      "Effect": "Allow",
      "Resource": [
          "*"
      ]
  }

授予容器服务ACK授权管理权限

由权限管理员为当前RAM用户或RAM角色授予指定集群所有命名空间下的容器服务ACK预置管理员或运维人员权限。具体操作,请参见配置RAM用户或RAM角色RBAC权限