在用户开通容器服务时,需要授予名称为AliyunCSDefaultRole、AliyunCSServerlessKubernetesRole、AliyunCSClusterRole、AliyunCSManagedKubernetesRole和KubernetesAuditRole的系统默认角色给服务账号,当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB等),创建集群以及保存日志等。本文介绍如何给服务账号进行授权及授权角色包含的权限。

使用说明

  • 如果您是在2018年1月15日之前使用过容器服务的用户,系统将默认完成角色授权,详细的授权权限内容请参见AliyunCSDefaultRole角色的权限内容。如果您之前是通过子账号使用,您需要对子账号进行策略升级,参见自定义RAM授权策略
  • 2018年1月15日全面接入跨服务授权后,新用户使用主账号只有进行了跨服务授权才能使用容器服务产品。如果新用户需要授权子账号使用容器服务,需要自行前往RAM控制台进行授权,详细操作参见使用子账号

操作步骤

  1. 容器服务ACK产品页面,单击管理控制台进入容器服务管理控制台。
  2. 单击前往RAM进行授权进入云资源访问授权页面,然后单击同意授权
    授权
    注意
    • 如果您创建的是托管版集群,还需同意授权KubernetesAuditRole角色访问云产品中的资源。
    • 当前托管集群节点默认的WorkerRolePolicy权限较大,为了进一步加强托管集群节点在多租户场景下的安全隔离性,容器服务Kubernetes版ACK(Container Service for Kubernetes)已收敛托管集群节点RAM角色绑定的权限。详情请参见托管集群节点RAM角色收敛公告
    • 如果您需修改容器服务已经设置好默认的角色权限,请在RAM控制台角色管理中设置。需注意错误的配置可能导致容器服务无法获取到必要的权限。
  3. 完成以上授权后,刷新容器服务控制台,然后您就可以进行正常操作。
    如果您想查看AliyunCSDefaultRole、AliyunCSServerlessKubernetesRole、AliyunCSClusterRole、AliyunCSManagedKubernetesRole和KubernetesAuditRole角色的详细策略信息,可以登录RAM的控制台进行查看。

AliyunCSDefaultRole角色的权限内容

关于各个角色权限的详细信息,请参考各个产品的API文档。

  • ECS相关权限
    权限名称(Action) 权限说明
    ecs:RunInstances 启动ECS实例。
    ecs:RenewInstance ECS实例续费。
    ecs:Create* 创建ECS相关资源,如实例、磁盘等。
    ecs:AllocatePublicIpAddress 分配公网IP地址。
    ecs:AllocateEipAddress 分配EIP地址。
    ecs:Delete* 删除机器实例。
    ecs:StartInstance 启动ECS相关资源。
    ecs:StopInstance 停止机器实例。
    ecs:RebootInstance 重启机器实例
    ecs:Describe* 查询ECS相关资源
    ecs:AuthorizeSecurityGroup 设置安全组入规则
    ecs:RevokeSecurityGroup 撤销安全组规则
    ecs:AuthorizeSecurityGroupEgress 设置安全组出规则
    ecs:AttachDisk 添加磁盘
    ecs:DetachDisk 清理磁盘
    ecs:AddTags 添加标签
    ecs:ReplaceSystemDisk 更换ECS实例的系统盘
    ecs:ModifyInstanceAttribute 修改实例属性
    ecs:JoinSecurityGroup 将实例加入到指定的安全组
    ecs:LeaveSecurityGroup 将实例移出指定的安全组
    ecs:UnassociateEipAddress 解绑弹性公网IP
    ecs:ReleaseEipAddress 释放弹性公网IP
  • VPC相关权限
    权限名称(Action) 权限说明
    vpc:Describe* 查询VPC相关资源的信息
    vpc:DescribeVpcs 查询VPC信息
    vpc:AllocateEipAddress 分配EIP地址
    vpc:AssociateEipAddress 关联EIP地址
    vpc:UnassociateEipAddress 不关联EIP地址
    vpc:ReleaseEipAddress 释放弹性公网IP
    vpc:CreateRouteEntry 创建路由接口
    vpc:DeleteRouteEntry 删除路由接口
  • SLB相关权限
    权限名称(Action) 权限说明
    slb:Describe* 查询负载均衡相关信息。
    slb:CreateLoadBalancer 创建负载均衡实例
    slb:DeleteLoadBalancer 删除负载均衡实例
    slb:RemoveBackendServers 解绑负载均衡实例
    slb:StartLoadBalancerListener 启动指定的监听服务
    slb:StopLoadBalancerListener 停止指定的监听服务。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则
    slb:AddBackendServers 添加后端服务器

AliyunCSClusterRole角色的权限内容

默认角色AliyunCSClusterRole包含的主要权限信息如下:

  • OSS相关权限
    权限名称(Action) 权限说明
    oss:PutObject 上传文件或文件夹对象
    oss:GetObject 获取文件或文件夹对象
    oss:ListObjects 查询文件列表信息
  • NAS相关权限
    权限名称(Action) 权限说明
    nas:Describe* 返回NAS相关信息
    nas:CreateAccessRule 创建权限规则
  • SLB相关权限
    权限名称(Action) 权限说明
    slb:Describe* 查询负载均衡相关信息。
    slb:CreateLoadBalancer 创建负载均衡实例
    slb:DeleteLoadBalancer 删除负载均衡实例
    slb:RemoveBackendServers 解绑负载均衡实例
    slb:StartLoadBalancerListener 启动指定的监听服务
    slb:StopLoadBalancerListener 停止指定的监听服务。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则
    slb:AddBackendServers 添加后端服务器
    slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则
    slb:CreateVServerGroup 创建虚拟服务器组,并添加后端服务器
    slb:ModifyVServerGroupBackendServers 改变虚拟服务器组中的后端服务器
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:SetBackendServers 配置后端服务器,为负载均衡实例后端的一组服务器(ECS实例)配置权重值
    slb:AddTags 为SLB实例添加标签

AliyunCSManagedKubernetesRole角色的权限内容

  • ECS相关权限
    权限名称(Action) 权限说明
    ecs:Describe* 查询ECS相关资源。
    ecs:CreateRouteEntry 创建路由接口。
    ecs:DeleteRouteEntry 删除路由接口。
    ecs:CreateNetworkInterface 创建一个弹性网卡(ENI)。
    ecs:DeleteNetworkInterface 删除一个弹性网卡(ENI)。
    ecs:CreateNetworkInterfacePermission 创建弹性网卡(ENI)权限。
    ecs:DeleteNetworkInterfacePermission 删除弹性网卡(ENI)权限。
  • SLB相关权限
    权限名称(Action) 权限说明
    slb:Describe* 查询负载均衡相关资源。
    slb:CreateLoadBalancer 创建负载均衡实例。
    slb:DeleteLoadBalancer 删除负载均衡实例。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:RemoveBackendServers 移除后端服务器。
    slb:AddBackendServers 添加后端服务器。
    slb:RemoveTags 解绑指定负载均衡实例下的标签。
    slb:AddTags 为指定的负载均衡实例添加标签。
    slb:StopLoadBalancerListener 停止监听。
    slb:StartLoadBalancerListener 启动监听。
    slb:SetLoadBalancerHTTPListenerAttribute 修改HTTP监听的配置。
    slb:SetLoadBalancerHTTPSListenerAttribute 修改HTTPS监听的配置。
    slb:SetLoadBalancerTCPListenerAttribute 修改TCP监听的配置。
    slb:SetLoadBalancerUDPListenerAttribute 修改UDP协议监听的配置。
    slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于HTTPS协议的监听。
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则。
    slb:CreateLoadBalancerUDPListener 创建UDP监听。
    slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。
    slb:CreateVServerGroup 向指定的后端服务器组中添加后端服务器。
    slb:DescribeVServerGroups 查询服务器组列表。
    slb:DeleteVServerGroup 删除服务器组。
    slb:SetVServerGroupAttribute 修改虚拟服务器组的配置。
    slb:DescribeVServerGroupAttribute 查询服务器组的详细信息。
    slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。
    slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。
    slb:ModifyLoadBalancerInstanceSpec 修改负载均衡的实例规格。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。
  • VPC相关权限
    权限名称(Action) 权限说明
    Describe* 查询VPC相关资源的信息。
    DeleteRouteEntry 删除自定义路由条目。
    CreateRouteEntry 创建自定义路由条目。
  • ACR相关权限
    权限名称(Action) 权限说明
    Get* 查询容器镜像服务相关资源。
    List* 查看容器镜像仓库列表。
    PullRepository 拉取镜像。

AliyunCSServerlessKubernetesRole角色的权限内容

  • VPC相关权限
    权限名称(Action) 权限说明
    DescribeVSwitches 查询已创建的交换机。
    DescribeVpcs 查询已创建的VPC。
    AssociateEipAddress 将弹性公网IP(EIP)绑定到同地域的云产品实例上。
    DescribeEipAddresses 查询指定地域已创建的EIP。
    AllocateEipAddress 申请弹性公网IP(EIP)。
    ReleaseEipAddress 释放指定的弹性公网IP(EIP)。
  • ECS相关权限
    权限名称(Action) 权限说明
    DescribeSecurityGroups 查询您创建的安全组的基本信息。
    CreateNetworkInterface 创建一个弹性网卡(ENI)。
    CreateNetworkInterfacePermission 创建弹性网卡(ENI)权限。
    DescribeNetworkInterfaces 查看弹性网卡(ENI)列表。
    AttachNetworkInterface 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。
    DetachNetworkInterface 从一台ECS实例上分离一个弹性网卡(ENI)。
    DeleteNetworkInterface 删除一个弹性网卡(ENI)。
    DeleteNetworkInterfacePermission 删除弹性网卡(ENI)权限。
  • SLB相关权限
    权限名称(Action) 权限说明
    slb:Describe* 查询负载均衡SLB相关资源。
    slb:CreateLoadBalancer 创建负载均衡实例。
    slb:DeleteLoadBalancer 删除后付费的负载均衡实例。
    slb:RemoveBackendServers 移除后端服务器。
    slb:StartLoadBalancerListener 启动监听。
    slb:StopLoadBalancerListener 停止监听。
    slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则。
    slb:AddBackendServers* 添加后端服务器。
    slb:UploadServerCertificate 上传服务器证书。
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于HTTPS协议的监听。
    slb:CreateLoadBalancerUDPListener 创建UDP监听。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:CreateRules 为指定的HTTP或HTTPS监听添加转发规则。
    slb:DeleteRules 删除转发规则。
    slb:SetRule 修改目标虚拟服务器组的转发规则。
    slb:CreateVServerGroup 向指定的后端服务器组中添加后端服务器。
    slb:SetVServerGroupAttribute 修改虚拟服务器组的配置。
    slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。
    slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。
    slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。
    slb:DeleteVServerGroup 删除服务器组。
    slb:SetLoadBalancerTCPListenerAttribute 修改TCP监听的配置。
    slb:SetLoadBalancerHTTPListenerAttribute 修改HTTP监听的配置。
    slb:SetLoadBalancerHTTPSListenerAttribute 修改HTTPS监听的配置。
    slb:AddTags 为指定的负载均衡实例添加标签。
  • PVTZ (云解析) 相关权限
    权限名称(Action) 权限说明
    AddZone 创建private zone。
    DeleteZone 删除private zone。
    DescribeZones 查询用户的zone列表。
    DescribeZoneInfo 获取指定zone的详细信息。
    BindZoneVpc 绑定或者解绑zone与VPC列表两者之间的关系。
    AddZoneRecord 添加prviate zone的解析记录。
    DeleteZoneRecord 删除解析记录。
    DeleteZoneRecordsByRR 删除解析记录列表。
    DescribeZoneRecordsByRR 查询解析记录列表
    DescribeZoneRecords 查询解析记录列表。
  • ACR相关权限
    权限名称(Action) 权限说明
    Get* 查询容器镜像服务相关资源。
    List* 查看容器镜像仓库列表。
    PullRepository 拉取镜像。
  • ECI相关权限
    权限名称(Action) 权限说明
    CreateContainerGroup 创建一个容器组。
    DeleteContainerGroup 删除一个容器组。
    DescribeContainerGroups 批量获取容器组信息。
    DescribeContainerLog 获取容器组日志信息。
    UpdateContainerGroup 更新实例。
    UpdateContainerGroupByTemplate 通过模板更新ECI实例。
    CreateContainerGroupFromTemplate 通过模板创建ECI实例。
    RestartContainerGroup 重启ECI实例。
    ExportContainerGroupTemplate 导出用户创建ECI的模板。
    DescribeContainerGroupMetric 查询一个ECI的监控信息。
    DescribeMultiContainerGroupMetric 同时查询多个容器组的监控信息。
    ExecContainerCommand 在容器内部执行命令。
    CreateImageCache 制作镜像缓存。
    DescribeImageCaches 查询镜像缓存信息。
    DeleteImageCache 删除镜像缓存。

KubernetesAuditRole角色的权限内容

权限名称(Action) 权限说明
log:CreateProject 创建一个Project。
log:GetProject 根据Project名称查询Project。
log:DeleteProject 删除一个指定的Project。
log:CreateLogStore 在Project下创建Logstore。
log:GetLogStore 查看Logstore属性。
log:UpdateLogStore 更新Logstore的属性。
log:DeleteLogStore 删除Logstore。
log:CreateConfig 创建日志采集配置。
log:UpdateConfig 更新配置内容。
log:GetConfig 获取采集配置的详细信息。
log:DeleteConfig 删除指定的日志采集配置。
log:CreateMachineGroup 根据需求创建一组机器,用以日志收集下发配置。
log:UpdateMachineGroup 更新机器组信息。
log:GetMachineGroup 查看具体的MachineGroup信息。
log:DeleteMachineGroup 删除机器组。
log:ApplyConfigToGroup 将配置应用到机器组。
log:GetAppliedMachineGroups 获得机器组上已经被应用的机器列表。
log:GetAppliedConfigs 获得机器组上已经被应用的配置名称。
log:RemoveConfigFromMachineGroup 从机器组中删除配置。
log:CreateIndex 为指定Logstore创建索引。
log:GetIndex 查询指定Logstore的索引。
log:UpdateIndex 更新指定Logstore的索引。
log:DeleteIndex 删除指定Logstore的索引。
log:CreateSavedSearch 创建快速查询。
log:GetSavedSearch 查看指定快速查询。
log:UpdateSavedSearch 更新快速查询。
log:DeleteSavedSearch 删除快速查询。
log:CreateDashboard 创建仪表盘。
log:GetDashboard 查看指定仪表盘。
log:UpdateDashboard 更新仪表盘。
log:DeleteDashboard 删除仪表盘。
log:CreateJob 创建任务。例如创建告警、订阅。
log:GetJob 查询任务。
log:DeleteJob 删除任务。
log:UpdateJob 更新任务。
log:PostLogStoreLogs 向指定的Logstore写入日志数据。