容器服务 Kubernetes 版对其他云服务有关联依赖关系。当您使用RAM用户访问控制台时,需配置对应的云服务权限后才能正常使用。本文介绍在容器服务管理控制台使用不同功能时所依赖的云服务,以及RAM用户所需授予的权限。
以下仅包含容器服务所依赖的其他云服务权限,您还需为RAM用户授予容器服务的系统权限AliyunCSFullAccess或所需的自定义权限来管理您的容器服务。关于授权相关操作,请参见使用RAM授予集群及云资源访问权限。
对于依赖的云服务,在非必要的情况下,仅需授予只读权限,而不考虑创建权限。例如,创建集群时,如需选择使用已有的VPC创建,只需授予只读VPC的权限。
依赖的云服务权限配置后,您需继续使用RBAC授予集群内资源操作权限,RAM用户才能管理集群的内部资源。
功能 | 依赖服务 | 系统权限 | 自定义权限 Action | 自定义权限鉴权Resource | 控制台可操作的权限 |
申请更多配额 | 配额中心 | AliyunQuotasFullAccess | quotas:ListProductQuotas | * | 查询目标云产品的配额列表。 |
quotas:ListProductQuotaDimensions | * | 查询目标云产品支持的配额维度。 | |||
quotas:ListProductDimensionGroups | * | 查询目标云产品的维度组。 | |||
quotas:ListDependentQuotas | * | 查询目标配额依赖的配额列表。 | |||
quotas:CreateQuotaApplication | * | 创建配额提升申请。 | |||
创建集群 | 费用与成本 | AliyunBSSFullAccess / AliyunBSSReadOnlyAccess | bssapi:GetPayAsYouGoPrice | * | 获取产品定价。 |
专有网络 VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | 集群配置 > 网络配置 > 专有网络 > 使用已有 | |
vpc:DescribeVpcs | * | 集群配置 > 网络配置 > 交换机 > 使用已有 | |||
AliyunVPCFullAccess | vpc:CreateVpc | * | 集群配置 > 网络配置 > 专有网络 > 自动创建 | ||
vpc:CreateVSwitch | * | 集群配置 > 网络配置 > 交换机 > 自动创建 | |||
负载均衡 | AliyunSLBFullAccess / AliyunSLBReadOnlyAccess | slb:DescribeLoadBalancers | * | 集群配置 > 网络配置 > API server 访问 > 负载均衡来源 > 使用已有 | |
slb:DescribeLoadBalancerListeners | * | ||||
AliyunSLBFullAccess | slb:CreateLoadBalancer | * | 集群配置 > 网络配置 > API server 访问 > 负载均衡来源 > 新建 | ||
云服务器 ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeSecurityGroups | * | 集群配置 > 网络配置 > 安全组 > 选择已有安全组 | |
ecs:DescribePrice | * | 在节点池配置 > 实例和镜像 > 实例规格区域,选择实例时,查看实例的定价信息。 | |||
ecs:DescribeImages | * | 在节点池配置 > 实例和镜像 > 操作系统区域,选择镜像时,选择自定义镜像和云市场镜像的权限。 | |||
ecs:DescribeKeyPairs | * | 节点池配置 > 实例和镜像 > 登录方式 > 设置密钥 | |||
ecs:DescribeDeploymentSets | * | Master 配置 > 部署集 > 选择部署集 | |||
AliyunECSFullAccess | ecs:CreateSecurityGroup | * | 在集群配置 > 网络配置 > 安全组区域,自动创建普通安全组或企业级安全组的权限。 | ||
密钥管理服务 | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | 集群配置 > 高级选项(选填) > Secret 落盘加密 > 选择 KMS 密钥 | |
弹性伸缩 | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribePatternTypes | * | 节点池配置 > 实例配置方式 > 指定实例属性 | |
云数据库 RDS | AliyunRDSFullAccess / AliyunRDSReadOnlyAccess | rds:DescribeDBInstances | * | 节点池配置 > 高级选项(选填) > RDS 白名单 > 选择 RDS 实例 | |
应用型负载均衡 | AliyunALBFullAccess / AliyunALBReadOnlyAccess | alb:ListLoadBalancers | * | 组件配置 > Ingress > ALB Ingress > 使用已有 | |
AliyunALBFullAccess | alb:CreateLoadBalancer | * | 组件配置 > Ingress > ALB Ingress > 新建 | ||
微服务引擎 | AliyunMSEFullAccess / AliyunMSEReadOnlyAccess | mse:ListGateway | * | 组件配置 > Ingress > MSE Ingress > 使用已有 | |
AliyunMSEFullAccess | mse:AddGateway | * | 组件配置 > Ingress > MSE Ingress > 新建 | ||
日志服务SLS | AliyunLogFullAccess / AliyunLogReadOnlyAccess | log:ListProject | * |
| |
AliyunLogFullAccess | log:CreateProject | * |
| ||
集群信息 > 基本信息 | 专有网络 VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVSwitches | * | 获取交换机列表,供编辑控制面交换机使用。 |
vpc:DescribeEipAddresses | * | 获取EIP列表,供更换 API Server公网端点使用。 | |||
密钥管理服务KMS | AliyunKMSFullAccess / AliyunKMSReadOnlyAccess | kms:ListKeys | * | 开启Secret落盘加密。 | |
集群信息 > 集群监控 | 应用实时监控服务ARMS | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:ListDashboards | * | 获取集群的Grafana大盘的列表。 |
CloudShell 管理集群 | 云命令行CloudShell | AliyunCloudShellFullAccess | cloudshell:CreateEnvironment | * | 创建CloudShell。 |
cloudshell:AttachStorage | * | ||||
cloudshell:DetachStorage | * | ||||
cloudshell:CreateSession | * | ||||
cloudshell:DownloadFile | * | 上传下载文件。 | |||
cloudshell:UploadFile | * | ||||
文件存储服务NAS | AliyunNASFullAccess | nas:DescribeFileSystems | * | 创建并绑定NAS文件系统。 | |
nas:CreateFileSystem | * | ||||
nas:DescribeAccessRules | * | ||||
节点池 > 创建节点池 | 云服务器 ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeImages | * | 在选择操作系统镜像时,获取自定义镜像和云市场镜像的权限。 |
ecs:DescribePrice | * | 查询云服务器ECS资源的最新价格。 | |||
节点池 > 创建或编辑 | 专有网络 VPC | AliyunVPCFullAccess / AliyunVPCReadOnlyAccess | vpc:DescribeVpcs | * | 获取VPC列表。 |
节点池 > 配置登录方式 | 云服务器 ECS | AliyunECSFullAccess / AliyunECSReadOnlyAccess | ecs:DescribeKeyPairs | * | 获取密钥列表。 |
节点池 > 添加已有节点 | ecs:DescribeInstances | * | 获取可添加的实例。 | ||
ecs:DescribeSecurityGroups | * | 获取安全组。 | |||
节点池 > 详情 > 伸缩活动 | 弹性伸缩ESS | AliyunESSFullAccess / AliyunESSReadOnlyAccess | ess:DescribeScalingActivities | * | 查询伸缩活动。 |
ess:DescribeScalingActivityDetail | * | 查询一个伸缩活动的详情。 | |||
ess:DescribeLifecycleActions | * | 查询伸缩活动对应的生命周期操作详情。 | |||
系统运维管理OOS | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oos:ListExecutions | * | 查询执行信息。 | |
工作负载 > 使用镜像创建 | 容器镜像服务ACR | AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess | cr:ListInstance | * | 获取ACR实例列表。 |
cr:ListInstanceDomain | * | 获取ACR实例信息。 | |||
cr:ListRepository | * | 获取ACR镜像仓库列表。 | |||
cr:ListArtifactTag | * | 获取ACR镜像Tag列表。 | |||
应用 > Knative > 监控大盘 | 应用实时监控服务ARMS | AliyunARMSFullAccess / AliyunARMSReadOnlyAccess | arms:InstallAddon | * | 安装Addon信息。 |
巡检和诊断 > 集群巡检和故障诊断 | 访问控制RAM | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:GetRole | acs:ram:*:*:role/aliyuncisdefaultrole | 故障诊断、集群巡检使用角色 AliyunCISDefaultRole。 |
巡检和检查 > 集群检查 > 日志 | 日志服务SLS | AliyunLogFullAccess | log:GetDashboard | * | 日志获取展示。 |
log:ListDashboard | * | ||||
log:ListLogStores | * | ||||
log:ListSavedSearch | * | ||||
log:GetLogStoreLogs | * | ||||
log:GetSavedSearch | * | 查询日志事件信息。 | |||
log:GetIndex | * | 查询语句。 | |||
log:UpdateIndex | * | ||||
log:GetLogStore | * | ||||
log:CreateDashboardSharing | * | 创建免密分享。 | |||
运维管理 > 日志中心 > 控制面组件日志 | AliyunLogFullAccess / AliyunLogReadOnlyAccess | log:ListProject | * | 获取日志库。 | |
运维管理 > 日志中心 > 网络组件日志 | AliyunLogFullAccess | log:GetProjectLogs | * | ALB Ingress日志需要的权限。 | |
log:GetResourceRecord | * | ||||
log:CreateResourceRecord | * | ||||
log:UpdateResourceRecord | * | ||||
安全管理 > 安全监控 | 云安全中心 | AliyunYundunSASFullAccess | yundun-sas:DescribeVersionConfig | * | 查看已购买的云安全中心实例的版本详情。 |
yundun-sas:GetClusterSuspEventStatistics | * | 获取安全告警统计。 | |||
yundun-sas:DescribeClusterVulStatistics | * | 获取漏洞风险统计。 | |||
yundun-sas:GetClusterCheckItemWarningStatistics | * | 获取基线风险统计。 | |||
yundun-sas:GetInterceptionSummary | * | 获取容器防火墙告警数统计。 | |||
yundun-sas:ListGroups | * | 获取服务器分组列表。 | |||
yundun-sas:ListAccountsInResourceDirectory | * | 安全告警相关权限。 | |||
yundun-sas:DescribeMonitorAccounts | * | ||||
yundun-sas:DescribeSuspEvents | * | ||||
yundun-sas:DescribeGroupedVul | * | 漏洞风险相关权限。 | |||
yundun-sas:DescribeVulExportInfo | * | ||||
yundun-sas:ExportVul | * | ||||
yundun-aegis:DescribeVulNumStatistics | * | ||||
yundun-sas:DescribeGroupedInstances | * | ||||
yundun-sas:DescribeFixUsedCount | * | ||||
yundun-sas:DescribeServiceLinkedRoleStatus | * | ||||
yundun-sas:DescribeVulConfig | * | ||||
yundun-sas:DescribeVulList | * | ||||
yundun-sas:DescribeRiskType | * | 基线风险相关权限。 | |||
yundun-sas:ListCheckItemWarningSummary | * | ||||
yundun-sas:ListInterceptionHistory | * | ||||
yundun-sas:ListClusterInterceptionConfig | * | ||||
yundun-sas:GetAssetDetailByUuid | * | ||||
yundun-sas:ListPluginForUuid | * | ||||
yundun-sas:ValidateHcWarnings | * | ||||
yundun-sas:DescribeCheckWarningMachines | * | ||||
yundun-sas:IgnoreCheckItems | * | ||||
yundun-sas:ListCheckItemWarningMachine | * | 容器防火墙告警相关权限。 | |||
存储 > 创建容器网络文件系统 | 对象存储OSS | AliyunOSSFullAccess / AliyunOSSReadOnlyAccess | oss:ListBucketsByRegion | * | 选择文件系统类型为OSS时,选择OSS Bucket所需要的权限。 |
应用备份 | oss:ListBucketsByRegion | * | 创建备份仓库 > 选择OSS Bucket | ||
授权管理 > RAM 用户 | 访问控制 | AliyunRAMFullAccess / AliyunRAMReadOnlyAccess | ram:ListUserBasicInfos | * | 查询所有RAM用户的基本信息。 |
授权管理 > RAM 角色 | ram:ListRoles | * | 查询所有RAM角色。 |