在用户开通容器服务时,需要授予名称为 AliyunCSDefaultRole 和 AliyunCSClusterRole 的系统默认角色给服务账号,当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB 等),创建集群以及保存日志等。

使用说明

  • 如果您是在2018年1月15日之前使用过容器服务的用户,系统将默认完成角色授权,详细的授权权限内容下面的默认角色包含的权限内容。如果您之前是通过子账号使用,您需要对子账号进行策略升级,参见创建自定义授权策略
  • 2018年1月15日全面接入跨服务授权后,新用户使用主账号只有进行了跨服务授权才能使用容器服务产品。如果新用户需要授权子账号使用容器服务,需要自行前往RAM控制台进行授权,详细操作参见使用子账号

角色授权步骤

  1. 当您进入容器服务控制台,如果之前没有正确地给服务账号授予默认角色,则会看到如下提示。单击 同意授权


    说明 容器服务已经设置好默认的角色权限,如需修改角色权限,请前往 RAM 控制台角色管理中设置,需要注意的是,错误的配置可能导致容器服务无法获取到必要的权限。
  2. 完成以上授权后,刷新容器服务控制台,然后就可以进行操作了。

    如果您想查看 AliyunCSDefaultRole 和 AliyunCSClusterRole 角色的详细策略信息,可以登录 RAM 的控制台 进行查看。

默认角色包含的权限内容

关于各个角色权限的详细信息,请参考各个产品的 API 文档。

AliyunCSDefaultRole 角色的权限内容

默认角色 AliyunCSDefaultRole 包含的主要权限信息如下:

  • ECS 相关权限
权限名称(Action) 权限说明
ecs:RunInstances 查询实例信息
ecs:RenewInstance ECS 实例续费
ecs:Create* 创建 ECS 相关资源,如实例、磁盘等
ecs:AllocatePublicIpAddress 分配公网 IP 地址
ecs:AllocateEipAddress 分配 EIP 地址
ecs:Delete* 删除机器实例
ecs:StartInstance 启动 ECS 相关资源
ecs:StopInstance 停止机器实例
ecs:RebootInstance 重启机器实例
ecs:Describe* 查询 ECS 相关资源
ecs:AuthorizeSecurityGroup 设置安全组入规则
ecs:RevokeSecurityGroup 撤销安全组规则
ecs:AuthorizeSecurityGroupEgress 设置安全组出规则
ecs:AttachDisk 添加磁盘
ecs:DetachDisk 清理磁盘
ecs:AddTags 添加标签
ecs:ReplaceSystemDisk 更换 ECS 实例的系统盘
ecs:ModifyInstanceAttribute 修改实例属性
ecs:JoinSecurityGroup 将实例加入到指定的安全组
ecs:LeaveSecurityGroup 将实例移出指定的安全组
ecs:UnassociateEipAddress 解绑弹性公网 IP
ecs:ReleaseEipAddress 释放弹性公网 IP
  • VPC 相关权限
权限名称(Action) 权限说明
vpc:Describe* 查询 VPC 相关资源的信息
vpc:DescribeVpcs 查询 VPC 信息
vpc:AllocateEipAddress 分配 EIP 地址
vpc:AssociateEipAddress 关联 EIP 地址
vpc:UnassociateEipAddress 不关联 EIP 地址
vpc:ReleaseEipAddress 释放弹性公网 IP
vpc:CreateRouteEntry 创建路由接口
vpc:DeleteRouteEntry 删除路由接口
  • SLB 相关权限
权限名称(Action) 权限说明
slb:Describe* 查询负载均衡相关信息
slb:CreateLoadBalancer 创建负载均衡实例
slb:DeleteLoadBalancer 删除负载均衡实例
slb:RemoveBackendServers 解绑负载均衡实例
slb:StartLoadBalancerListener 启动指定的监听服务
slb:StopLoadBalancerListener 停止指定的监听服务
slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于 TCP 协议的监听规则
slb:AddBackendServers 添加后端服务器

AliyunCSClusterRole 角色的权限内容

默认角色 AliyunCSClusterRole 包含的主要权限信息如下:

  • OSS 相关权限
权限名称(Action) 权限说明
oss:PutObject 上传文件或文件夹对象
oss:GetObject 获取文件或文件夹对象
oss:ListObjects 查询文件列表信息
  • NAS 相关权限
权限名称(Action) 权限说明
nas:Describe* 返回 NAS 相关信息
nas:CreateAccessRule 创建权限规则
  • SLB 相关权限
权限名称(Action) 权限说明
slb:Describe* 查询负载均衡相关信息
slb:CreateLoadBalancer 创建负载均衡实例
slb:DeleteLoadBalancer 删除负载均衡实例
slb:RemoveBackendServers 解绑负载均衡实例
slb:StartLoadBalancerListener 启动指定的监听服务
slb:StopLoadBalancerListener 停止指定的监听服务
slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于 TCP 协议的监听规则
slb:AddBackendServers 添加后端服务器
slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则
slb:CreateVServerGroup 创建虚拟服务器组,并添加后端服务器
slb:ModifyVServerGroupBackendServers 改变虚拟服务器组中的后端服务器
slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于 HTTP 协议的 Listener
slb:SetBackendServers 配置后端服务器,为负载均衡实例后端的一组服务器(ECS 实例)配置权重值
slb:AddTags 为 SLB 实例添加标签