容器服务控制台权限依赖
容器服务 Kubernetes 版对其他云服务有关联依赖关系。当您使用RAM用户访问控制台时,需配置对应的云服务权限后才能正常使用。本文介绍在容器服务管理控制台使用不同功能时所依赖的云服务,以及RAM用户所需授予的权限。
-
以下仅包含容器服务所依赖的其他云服务权限,您还需为RAM用户授予容器服务的系统权限AliyunCSFullAccess或所需的自定义权限来管理您的容器服务。关于授权相关操作,请参见使用RAM授予集群及云资源访问权限。
-
对于依赖的云服务,在非必要的情况下,仅需授予只读权限,而不考虑创建权限。例如,创建集群时,如需选择使用已有的VPC创建,只需授予只读VPC的权限。
-
依赖的云服务权限配置后,您需继续使用RBAC为集群内资源操作授权,RAM用户才能管理集群的内部资源。
|
功能 |
依赖服务 |
系统权限 |
自定义权限 Action |
自定义权限鉴权Resource |
控制台可操作的权限 |
|
申请更多配额 |
配额中心 |
AliyunQuotasFullAccess |
quotas:ListProductQuotas |
* |
查询目标云产品的配额列表。 |
|
quotas:ListProductQuotaDimensions |
* |
查询目标云产品支持的配额维度。 |
|||
|
quotas:ListProductDimensionGroups |
* |
查询目标云产品的维度组。 |
|||
|
quotas:ListDependentQuotas |
* |
查询目标配额依赖的配额列表。 |
|||
|
quotas:CreateQuotaApplication |
* |
创建配额提升申请。 |
|||
|
创建集群 |
费用与成本 |
AliyunBSSFullAccess / AliyunBSSReadOnlyAccess |
bssapi:GetPayAsYouGoPrice |
* |
获取产品定价。 |
|
专有网络 VPC |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVSwitches |
* |
集群配置 > 网络配置 > 专有网络> 使用已有 |
|
|
vpc:DescribeVpcs |
* |
集群配置 > 网络配置 > 交换机 > 使用已有 |
|||
|
AliyunVPCFullAccess |
vpc:CreateVpc |
* |
集群配置 > 网络配置 > 专有网络 > 自动创建 |
||
|
vpc:CreateVSwitch |
* |
集群配置 > 网络配置 > 交换机 > 自动创建 |
|||
|
负载均衡 |
AliyunSLBFullAccess / AliyunSLBReadOnlyAccess |
slb:DescribeLoadBalancers |
* |
集群配置 >网络配置 > API server 访问 > 负载均衡来源 > 使用已有 |
|
|
slb:DescribeLoadBalancerListeners |
* |
||||
|
AliyunSLBFullAccess |
slb:CreateLoadBalancer |
* |
集群配置 > 网络配置 > API server 访问 >负载均衡来源 > 新建 |
||
|
云服务器 ECS |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeSecurityGroups |
* |
集群配置 > 网络配置 > 安全组 > 选择已有安全组 |
|
|
ecs:DescribePrice |
* |
在节点池配置 > 实例和镜像 > 实例规格区域,选择实例时,查看实例的定价信息。 |
|||
|
ecs:DescribeImages |
* |
在节点池配置 > 实例和镜像 > 操作系统区域,选择镜像时,选择自定义镜像和云市场镜像的权限。 |
|||
|
ecs:DescribeKeyPairs |
* |
节点池配置 > 实例和镜像 > 登录方式> 设置密钥 |
|||
|
ecs:DescribeDeploymentSets |
* |
Master 配置 > 部署集 > 选择部署集 |
|||
|
AliyunECSFullAccess |
ecs:CreateSecurityGroup |
* |
在集群配置 > 网络配置 > 安全组区域,自动创建普通安全组或企业级安全组的权限。 |
||
|
密钥管理服务 |
AliyunKMSFullAccess / AliyunKMSReadOnlyAccess |
kms:ListKeys |
* |
集群配置 > 高级选项(选填) > Secret 落盘加密 > 选择 KMS 密钥 |
|
|
弹性伸缩 |
AliyunESSFullAccess / AliyunESSReadOnlyAccess |
ess:DescribePatternTypes |
* |
节点池配置 > 实例配置方式 > 指定实例属性 |
|
|
云数据库 RDS |
AliyunRDSFullAccess / AliyunRDSReadOnlyAccess |
rds:DescribeDBInstances |
* |
节点池配置 > 高级选项(选填)> RDS 白名单 > 选择 RDS 实例 |
|
|
应用型负载均衡 |
AliyunALBFullAccess / AliyunALBReadOnlyAccess |
alb:ListLoadBalancers |
* |
组件配置 > Ingress > ALB Ingress > 使用已有 |
|
|
AliyunALBFullAccess |
alb:CreateLoadBalancer |
* |
组件配置 > Ingress > ALB Ingress > 新建 |
||
|
微服务引擎 |
AliyunMSEFullAccess / AliyunMSEReadOnlyAccess |
mse:ListGateway |
* |
组件配置 > Ingress > MSE Ingress > 使用已有 |
|
|
AliyunMSEFullAccess |
mse:AddGateway |
* |
组件配置 > Ingress > MSE Ingress > 新建 |
||
|
日志服务SLS |
AliyunLogFullAccess / AliyunLogReadOnlyAccess |
log:ListProject |
* |
|
|
|
AliyunLogFullAccess |
log:CreateProject |
* |
|
||
|
集群信息 >基本信息 |
专有网络 VPC |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVSwitches |
* |
获取交换机列表,供编辑控制面交换机使用。 |
|
vpc:DescribeEipAddresses |
* |
获取EIP列表,供更换 API Server公网端点使用。 |
|||
|
密钥管理服务KMS |
AliyunKMSFullAccess / AliyunKMSReadOnlyAccess |
kms:ListKeys |
* |
开启Secret落盘加密。 |
|
|
集群信息 >集群监控 |
应用实时监控服务ARMS |
AliyunARMSFullAccess / AliyunARMSReadOnlyAccess |
arms:ListDashboards |
* |
获取集群的Grafana大盘的列表。 |
|
CloudShell 管理集群 |
云命令行CloudShell |
AliyunCloudShellFullAccess |
cloudshell:CreateEnvironment |
* |
创建CloudShell。 |
|
cloudshell:AttachStorage |
* |
||||
|
cloudshell:DetachStorage |
* |
||||
|
cloudshell:CreateSession |
* |
||||
|
cloudshell:DownloadFile |
* |
上传下载文件。 |
|||
|
cloudshell:UploadFile |
* |
||||
|
文件存储服务NAS |
AliyunNASFullAccess |
nas:DescribeFileSystems |
* |
创建并绑定NAS文件系统。 |
|
|
nas:CreateFileSystem |
* |
||||
|
nas:DescribeAccessRules |
* |
||||
|
节点池 > 创建节点池 |
云服务器 ECS |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeImages |
* |
在选择操作系统镜像时,获取自定义镜像和云市场镜像的权限。 |
|
ecs:DescribePrice |
* |
查询云服务器ECS资源的最新价格。 |
|||
|
节点池 > 创建或编辑 |
专有网络 VPC |
AliyunVPCFullAccess / AliyunVPCReadOnlyAccess |
vpc:DescribeVpcs |
* |
获取VPC列表。 |
|
节点池 >配置登录方式 |
云服务器 ECS |
AliyunECSFullAccess / AliyunECSReadOnlyAccess |
ecs:DescribeKeyPairs |
* |
获取密钥列表。 |
|
节点池 >添加已有节点 |
ecs:DescribeInstances |
* |
获取可添加的实例。 |
||
|
ecs:DescribeSecurityGroups |
* |
获取安全组。 |
|||
|
节点池 > 详情 > 伸缩活动 |
弹性伸缩ESS |
AliyunESSFullAccess / AliyunESSReadOnlyAccess |
ess:DescribeScalingActivities |
* |
查询伸缩活动。 |
|
ess:DescribeScalingActivityDetail |
* |
查询一个伸缩活动的详情。 |
|||
|
ess:DescribeLifecycleActions |
* |
查询伸缩活动对应的生命周期操作详情。 |
|||
|
系统运维管理OOS |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oos:ListExecutions |
* |
查询执行信息。 |
|
|
工作负载 >使用镜像创建 |
容器镜像服务ACR |
AliyunContainerRegistryFullAccess / AliyunContainerRegistryReadOnlyAccess |
cr:ListInstance |
* |
获取ACR实例列表。 |
|
cr:ListInstanceDomain |
* |
获取ACR实例信息。 |
|||
|
cr:ListRepository |
* |
获取ACR镜像仓库列表。 |
|||
|
cr:ListArtifactTag |
* |
获取ACR镜像Tag列表。 |
|||
|
应用 > Knative > 监控大盘 |
应用实时监控服务ARMS |
AliyunARMSFullAccess / AliyunARMSReadOnlyAccess |
arms:InstallAddon |
* |
安装Addon信息。 |
|
巡检和诊断 > 集群巡检和故障诊断 |
访问控制RAM |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:GetRole |
acs:ram:*:*:role/aliyuncisdefaultrole |
故障诊断、集群巡检使用角色 AliyunCISDefaultRole。 |
|
巡检和检查 > 集群检查 > 日志 |
日志服务SLS |
AliyunLogFullAccess |
log:GetDashboard |
* |
日志获取展示。 |
|
log:ListDashboard |
* |
||||
|
log:ListLogStores |
* |
||||
|
log:ListSavedSearch |
* |
||||
|
log:GetLogStoreLogs |
* |
||||
|
log:GetSavedSearch |
* |
查询日志事件信息。 |
|||
|
log:GetIndex |
* |
查询语句。 |
|||
|
log:UpdateIndex |
* |
||||
|
log:GetLogStore |
* |
||||
|
log:CreateDashboardSharing |
* |
创建免密分享。 |
|||
|
运维管理 > 日志中心 > 控制面组件日志 |
AliyunLogFullAccess / AliyunLogReadOnlyAccess |
log:ListProject |
* |
获取日志库。 |
|
|
运维管理 > 日志中心 > 网络组件日志 |
AliyunLogFullAccess |
log:GetProjectLogs |
* |
ALB Ingress日志需要的权限。 |
|
|
log:GetResourceRecord |
* |
||||
|
log:CreateResourceRecord |
* |
||||
|
log:UpdateResourceRecord |
* |
||||
|
安全管理 > 安全监控 |
云安全中心 |
AliyunYundunSASFullAccess |
yundun-sas:DescribeVersionConfig |
* |
查看已购买的云安全中心实例的版本详情。 |
|
yundun-sas:GetClusterSuspEventStatistics |
* |
获取安全告警统计。 |
|||
|
yundun-sas:DescribeClusterVulStatistics |
* |
获取漏洞风险统计。 |
|||
|
yundun-sas:GetClusterCheckItemWarningStatistics |
* |
获取基线风险统计。 |
|||
|
yundun-sas:GetInterceptionSummary |
* |
获取容器防火墙告警数统计。 |
|||
|
yundun-sas:ListGroups |
* |
获取服务器分组列表。 |
|||
|
yundun-sas:ListAccountsInResourceDirectory |
* |
安全告警相关权限。 |
|||
|
yundun-sas:DescribeMonitorAccounts |
* |
||||
|
yundun-sas:DescribeSuspEvents |
* |
||||
|
yundun-sas:DescribeGroupedVul |
* |
漏洞风险相关权限。 |
|||
|
yundun-sas:DescribeVulExportInfo |
* |
||||
|
yundun-sas:ExportVul |
* |
||||
|
yundun-aegis:DescribeVulNumStatistics |
* |
||||
|
yundun-sas:DescribeGroupedInstances |
* |
||||
|
yundun-sas:DescribeFixUsedCount |
* |
||||
|
yundun-sas:DescribeServiceLinkedRoleStatus |
* |
||||
|
yundun-sas:DescribeVulConfig |
* |
||||
|
yundun-sas:DescribeVulList |
* |
||||
|
yundun-sas:DescribeRiskType |
* |
基线风险相关权限。 |
|||
|
yundun-sas:ListCheckItemWarningSummary |
* |
||||
|
yundun-sas:ListInterceptionHistory |
* |
||||
|
yundun-sas:ListClusterInterceptionConfig |
* |
||||
|
yundun-sas:GetAssetDetailByUuid |
* |
||||
|
yundun-sas:ListPluginForUuid |
* |
||||
|
yundun-sas:ValidateHcWarnings |
* |
||||
|
yundun-sas:DescribeCheckWarningMachines |
* |
||||
|
yundun-sas:IgnoreCheckItems |
* |
||||
|
yundun-sas:ListCheckItemWarningMachine |
* |
容器防火墙告警相关权限。 |
|||
|
存储 > 创建容器网络文件系统 |
对象存储OSS |
AliyunOSSFullAccess / AliyunOSSReadOnlyAccess |
oss:ListBucketsByRegion |
* |
选择文件系统类型为OSS时,选择OSS Bucket所需要的权限。 |
|
应用备份 |
oss:ListBucketsByRegion |
* |
创建备份仓库 > 选择OSS Bucket |
||
|
授权管理 > RAM 用户 |
访问控制 |
AliyunRAMFullAccess / AliyunRAMReadOnlyAccess |
ram:ListUserBasicInfos |
* |
查询所有RAM用户的基本信息。 |
|
授权管理 > RAM 角色 |
ram:ListRoles |
* |
查询所有RAM角色。 |