在您开通弹性容器实例时,需要授予名称AliyunECIContainerGroupRole的系统默认角色给服务账号,当且仅当该角色被正确授予后,弹性容器实例才能正常地调用相关服务(ECS、VPC、CR、Log、SLB等)。

角色授权步骤

  1. 当您进入弹性容器实例控制台,如果之前没有正确地给服务账号授予默认角色,则会看到如下提示。单击 前往授权 并且 同意授权

    注意 弹性容器实例已经设置好默认的角色权限,如需修改角色权限,请前往 RAM 控制台角色管理中设置,错误的配置可能导致弹性容器实例无法获取到必要的权限。
  2. 完成授权,刷新弹性容器实例控制台进行操作。

    如果您想查看AliyunECIContainerGroupRole角色的详细策略信息,可以登录 RAM 控制台 进行查看。

AliyunECIContainerGroupRole 角色的权限内容

默认角色 AliyunECIContainerGroupRole 包含的主要权限信息如下。

ECS 相关权限

权限名称 (Action) 权限说明
ecs:CreateNetworkInterfacePermission 创建弹性网卡(ENI)权限
ecs:DeleteNetworkInterfacePermission 删除弹性网卡(ENI)权限
ecs:CreateNetworkInterface 创建弹性网卡(ENI)
ecs:DescribeNetworkInterfaces 查询弹性网卡(ENI)
ecs:AttachNetworkInterface 挂载弹性网卡(ENI)
ecs:DetachNetworkInterface 卸载弹性网卡(ENI)
ecs:DeleteNetworkInterface 删除弹性网卡(ENI)
ecs:DescribeSecurityGroups 查询安全组信息

VPC 相关权限

权限名称 (Action) 权限说明
vpc:DescribeVSwitches 查询 VPC 中虚拟交换机资源信息
vpc:DescribeVpcs 查询 VPC 信息
vpc:AssociateEipAddress EIP绑定云产品实例上
vpc:UnassociateEipAddress EIP解绑云产品实例
vpc:DescribeEipAddresses 查询 EIP 地址
vpc:AllocateEipAddress 申请弹性公网IP(EIP)
vpc:ReleaseEipAddress 释放EIP实例
vpc:AddCommonBandwidthPackageIp 添加EIP到共享带宽中
vpc:RemoveCommonBandwidthPackageIp 移除共享带宽实例中的EIP

镜像仓库 相关权限

权限名称 (Action) 权限说明
cr:Get* 查询镜像信息
cr:List* 查询镜像信息
cr:PullRepository 拉取镜像

日志服务 相关权限

权限名称(Action) 权限说明
log:CreateProject 创建项目
log:GetProject 查询项目
log:CreateLogStore 创建日志库
log:GetLogStore 获取日志库信息
log:CreateMachineGroup 创建机器组
log:CreateConfig 创建Logtail配置
log:GetConfig 获取Logtail配置详细信息
log:GetAppliedConfigs 查询已应用配置列表
log:CreateIndex 创建索引

负载均衡 相关权限

权限名称(Action) 权限说明
slb:DescribeLoadBalancers 查询负载均衡实例
slb:RemoveBackendServers 移除后端服务器