本文描述容器服务Kubernetes版支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。
什么是系统权限策略
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了两种类型的权限策略:系统策略和自定义策略。系统策略统一由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。自定义策略由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。在产品迭代过程中,容器服务Kubernetes版会向系统策略中添加新的权限,用来支持新的功能和能力。系统策略的更新将会影响所有授予了该策略的 RAM 身份,包括 RAM 用户、RAM 用户组和 RAM 角色。有关 RAM 权限策略的更多信息,请参阅权限策略概览。
产品系统策略旨在帮助用户快速入门,仅需简单配置即可通过控制台访问该产品及其依赖产品。虽然系统策略包含的权限同样适用于 OpenAPI 或 CLI 等访问方式,但为了提高安全性,我们推荐您在这些场景下使用自定义策略,按需授予人员及应用特定 API 的访问权限。
系统策略可进一步细分为产品系统策略、服务角色策略和服务关联角色策略三类。部分云产品仅提供三类策略中的一类或两类,请以本文实际展示的策略类型为准。
产品系统策略
AliyunCSFullAccess
您可以将 AliyunCSFullAccess 策略授权给RAM身份。本策略定义了管理容器服务(CS)的权限。
AliyunCSReadOnlyAccess
您可以将 AliyunCSReadOnlyAccess 策略授权给RAM身份。本策略定义了只读访问容器服务(CS)的权限。
服务角色策略
AliyunCISDefaultRolePolicy
AliyunCISDefaultRolePolicy 是服务角色 AliyunCISDefaultRole 专用的授权策略,⽤于CS服务⻆⾊的授权策略。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSAIAssistantRolePolicy
AliyunCSAIAssistantRolePolicy 是服务角色 AliyunCSAIAssistantRole 专用的授权策略,CS使用此角色来访问您在其他云产品中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSDefaultRolePolicy
AliyunCSDefaultRolePolicy 是服务角色 AliyunCSDefaultRole 专用的授权策略,用于容器服务(CS)默认角色的授权策略。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSKubernetesAuditRolePolicy
AliyunCSKubernetesAuditRolePolicy 是服务角色 AliyunCSKubernetesAuditRole 专用的授权策略,用于容器服务(CS)k8s审计角色的授权策略。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedAcrRolePolicy
AliyunCSManagedAcrRolePolicy 是服务角色 AliyunCSManagedAcrRole 专用的授权策略,ACK容器服务集群中的免密组件拉取镜像时使用该角色访问您在ACR容器镜像服务中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedApiGWRolePolicy
AliyunCSManagedApiGWRolePolicy 是服务角色 AliyunCSManagedApiGWRole 专用的授权策略,ACK容器服务集群中的API网关组件使用该角色访问您在日志和API网关等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedArmsRolePolicy
AliyunCSManagedArmsRolePolicy 是服务角色 AliyunCSManagedArmsRole 专用的授权策略,ACK容器服务集群中的Arms监控组件使用该角色访问您在Arms、MSE、日志等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedAutoScalerRolePolicy
AliyunCSManagedAutoScalerRolePolicy 是服务角色 AliyunCSManagedAutoScalerRole 专用的授权策略,ACK容器服务集群中的autoscaler组件使用该角色访问您在ESS和ECS等服务中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedBackupRestoreRolePolicy
AliyunCSManagedBackupRestoreRolePolicy 是服务角色 AliyunCSManagedBackupRestoreRole 专用的授权策略,ACK容器服务集群中的备份中心组件使用该角色访问您在ECS、OSS、HBR等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedCmsRolePolicy
AliyunCSManagedCmsRolePolicy 是服务角色 AliyunCSManagedCmsRole 专用的授权策略,ACK容器服务集群中的监控组件使用该角色访问您在CMS和日志服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedCostRolePolicy
AliyunCSManagedCostRolePolicy 是服务角色 AliyunCSManagedCostRole 专用的授权策略,ACK容器服务集群中的成本分析组件使用该角色访问您在ECI、ECS和BSS等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedCsiPluginRolePolicy
AliyunCSManagedCsiPluginRolePolicy 是服务角色 AliyunCSManagedCsiPluginRole 专用的授权策略,ACK容器服务集群中的CSI存储数据面组件使用该角色访问您在ECS等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedCsiProvisionerRolePolicy
AliyunCSManagedCsiProvisionerRolePolicy 是服务角色 AliyunCSManagedCsiProvisionerRole 专用的授权策略,ACK容器服务集群中的CSI存储控制面组件使用该角色访问您在ECS、NAS、ENS、OSS等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedCsiRolePolicy
AliyunCSManagedCsiRolePolicy 是服务角色 AliyunCSManagedCsiRole 专用的授权策略,ACK容器服务集群中的CSI存储组件使用该角色访问您在ECS、NAS、OSS、ENS等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedEdgeRolePolicy
AliyunCSManagedEdgeRolePolicy 是服务角色 AliyunCSManagedEdgeRole 专用的授权策略,ACK容器服务边缘集群中的管控组件使用该角色访问您在VPC、SLB、ENS等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedKubernetesRolePolicy
AliyunCSManagedKubernetesRolePolicy 是服务角色 AliyunCSManagedKubernetesRole 专用的授权策略,ACK容器服务集群中的控制面核心组件使用该角色访问您在ECS、SLB、ALB、CMS、SLS、云安全中心等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedLogRolePolicy
AliyunCSManagedLogRolePolicy 是服务角色 AliyunCSManagedLogRole 专用的授权策略,ACK容器服务集群中的日志组件使用该角色访问您在SLS日志服务中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedMseRolePolicy
AliyunCSManagedMseRolePolicy 是服务角色 AliyunCSManagedMseRole 专用的授权策略,ACK容器服务集群中的MSE网关组件使用该角色访问您在MSE、日志等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedNetworkRolePolicy
AliyunCSManagedNetworkRolePolicy 是服务角色 AliyunCSManagedNetworkRole 专用的授权策略,ACK容器服务集群中的网络组件使用该角色访问您在ECS、VPC等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedNimitzRolePolicy
AliyunCSManagedNimitzRolePolicy 是服务角色 AliyunCSManagedNimitzRole 专用的授权策略,ACK容器服务灵骏集群中的网络组件使用该角色访问您在Eflo等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedNlcRolePolicy
AliyunCSManagedNlcRolePolicy 是服务角色 AliyunCSManagedNlcRole 专用的授权策略,ACK容器服务集群中的节点池管控组件使用该角色访问您在ESS和ECS等服务中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSManagedSecurityRolePolicy
AliyunCSManagedSecurityRolePolicy 是服务角色 AliyunCSManagedSecurityRole 专用的授权策略,ACK容器服务集群中的控制面安全组件使用该角色访问您在KMS等服务中的资源接口。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCSServerlessKubernetesRolePolicy
AliyunCSServerlessKubernetesRolePolicy 是服务角色 AliyunCSServerlessKubernetesRole 专用的授权策略,用于容器服务(CS) ServerlessKubernetes 角色的授权策略。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
授权操作参考
RAM 身份默认没有任何权限,需要由阿里云账号管理员为其授权后才能访问阿里云账号下的资源。为保证资源的数据安全,建议您遵循最小授权原则为允许访问云资源的身份授予恰好够用的权限。授权的详细操作请参见: