在用户开通容器服务时,需要授予名称为 AliyunCSDefaultRole 和 AliyunCSClusterRole 的系统默认角色给服务账号,当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB 等),创建集群以及保存日志等。
使用说明
- 如果您是在2018年1月15日之前使用过容器服务的用户,系统将默认完成角色授权,详细的授权权限内容下面的默认角色包含的权限内容。如果您之前是通过子账号使用,您需要对子账号进行策略升级,参见子账号策略升级。
- 2018年1月15日全面接入跨服务授权后,新用户使用主账号只有进行了跨服务授权才能使用容器服务产品。如果新用户需要授权子账号使用容器服务,需要自行前往RAM控制台进行授权,详细操作参见使用子账号。
角色授权步骤
- 当您进入容器服务控制台,如果之前没有正确地给服务账号授予默认角色,则会看到如下提示。单击 同意授权。
Note 容器服务已经设置好默认的角色权限,如需修改角色权限,请前往 RAM 控制台角色管理中设置,需要注意的是,错误的配置可能导致容器服务无法获取到必要的权限。
- 完成以上授权后,刷新容器服务控制台,然后就可以进行操作了。
如果您想查看 AliyunCSDefaultRole 和 AliyunCSClusterRole 角色的详细策略信息,可以登录 RAM 的控制台 进行查看。
默认角色包含的权限内容
关于各个角色权限的详细信息,请参考各个产品的 API 文档。
AliyunCSDefaultRole 角色的权限内容
默认角色 AliyunCSDefaultRole 包含的主要权限信息如下:
| 权限名称(Action) |
权限说明 |
| ecs:RunInstances |
查询实例信息 |
| ecs:RenewInstance |
ECS 实例续费 |
| ecs:Create* |
创建 ECS 相关资源,如实例、磁盘等 |
| ecs:AllocatePublicIpAddress |
分配公网 IP 地址 |
| ecs:AllocateEipAddress |
分配 EIP 地址 |
| ecs:Delete* |
删除机器实例 |
| ecs:StartInstance |
启动 ECS 相关资源 |
| ecs:StopInstance |
停止机器实例 |
| ecs:RebootInstance |
重启机器实例 |
| ecs:Describe* |
查询 ECS 相关资源 |
| ecs:AuthorizeSecurityGroup |
设置安全组入规则 |
| ecs:RevokeSecurityGroup |
撤销安全组规则 |
| ecs:AuthorizeSecurityGroupEgress |
设置安全组出规则 |
| ecs:AttachDisk |
添加磁盘 |
| ecs:DetachDisk |
清理磁盘 |
| ecs:AddTags |
添加标签 |
| ecs:ReplaceSystemDisk |
更换 ECS 实例的系统盘 |
| ecs:ModifyInstanceAttribute |
修改实例属性 |
| ecs:JoinSecurityGroup |
将实例加入到指定的安全组 |
| ecs:LeaveSecurityGroup |
将实例移出指定的安全组 |
| ecs:UnassociateEipAddress |
解绑弹性公网 IP |
| ecs:ReleaseEipAddress |
释放弹性公网 IP |
| 权限名称(Action) |
权限说明 |
| vpc:Describe* |
查询 VPC 相关资源的信息 |
| vpc:DescribeVpcs |
查询 VPC 信息 |
| vpc:AllocateEipAddress |
分配 EIP 地址 |
| vpc:AssociateEipAddress |
关联 EIP 地址 |
| vpc:UnassociateEipAddress |
不关联 EIP 地址 |
| vpc:ReleaseEipAddress |
释放弹性公网 IP |
| vpc:CreateRouteEntry |
创建路由接口 |
| vpc:DeleteRouteEntry |
删除路由接口 |
| 权限名称(Action) |
权限说明 |
| slb:Describe* |
查询负载均衡相关信息 |
| slb:CreateLoadBalancer |
创建负载均衡实例 |
| slb:DeleteLoadBalancer |
删除负载均衡实例 |
| slb:RemoveBackendServers |
解绑负载均衡实例 |
| slb:StartLoadBalancerListener |
启动指定的监听服务 |
| slb:StopLoadBalancerListener |
停止指定的监听服务 |
| slb:CreateLoadBalancerTCPListener |
为负载均衡实例创建基于 TCP 协议的监听规则 |
| slb:AddBackendServers |
添加后端服务器 |
AliyunCSClusterRole 角色的权限内容
默认角色 AliyunCSClusterRole 包含的主要权限信息如下:
| 权限名称(Action) |
权限说明 |
| oss:PutObject |
上传文件或文件夹对象 |
| oss:GetObject |
获取文件或文件夹对象 |
| oss:ListObjects |
查询文件列表信息 |
| 权限名称(Action) |
权限说明 |
| nas:Describe* |
返回 NAS 相关信息 |
| nas:CreateAccessRule |
创建权限规则 |
| 权限名称(Action) |
权限说明 |
| slb:Describe* |
查询负载均衡相关信息 |
| slb:CreateLoadBalancer |
创建负载均衡实例 |
| slb:DeleteLoadBalancer |
删除负载均衡实例 |
| slb:RemoveBackendServers |
解绑负载均衡实例 |
| slb:StartLoadBalancerListener |
启动指定的监听服务 |
| slb:StopLoadBalancerListener |
停止指定的监听服务 |
| slb:CreateLoadBalancerTCPListener |
为负载均衡实例创建基于 TCP 协议的监听规则 |
| slb:AddBackendServers |
添加后端服务器 |
| slb:DeleteLoadBalancerListener |
删除负载均衡实例监听规则 |
| slb:CreateVServerGroup |
创建虚拟服务器组,并添加后端服务器 |
| slb:ModifyVServerGroupBackendServers |
改变虚拟服务器组中的后端服务器 |
| slb:CreateLoadBalancerHTTPListener |
为负载均衡实例创建基于 HTTP 协议的 Listener |
| slb:SetBackendServers |
配置后端服务器,为负载均衡实例后端的一组服务器(ECS 实例)配置权重值 |
| slb:AddTags |
为 SLB 实例添加标签 |
在文档使用中是否遇到以下问题
更多建议
匿名提交