使用诊断、巡检服务或计算AI助手时,您需要为服务账号授予特定的服务角色,容器智能运维和计算AI助手才能正常地调用相关服务(ECS、CS、VPC、SLB等),为您提供集群检查、智能诊断等服务。本文介绍容器智能运维与计算AI助手授权的授权方式和权限说明。
适用范围
阿里云账号(主账号)和拥有管理权限的RAM用户(子账号)可以授权服务角色。
授权使用集群检查、集群巡检、集群诊断功能
进入访问控制快速授权页面,单击确认授权创建角色AliyunCISDefaultRole并为该角色授予AliyunCISDefaultRolePolicy系统权限,以访问ECS、VPC、SLB等云资源,为集群提供诊断和巡检等服务。
完成以上授权后,刷新控制台即可使用容器智能运维服务。
角色权限说明
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DescribeInstanceStatus | 获取一台或多台ECS实例的状态信息。 |
ecs:DescribeInstanceTypes | 查询云服务器ECS提供的实例规格资源。 |
ecs:DescribeInstanceTypeFamilies | 查询云服务器ECS提供的实例规格族资源。 |
ecs:DescribeInstanceAttribute | 查询单个ECS实例详情。 |
ecs:CreateDiagnosticReport | 创建资源诊断报告。 |
ecs:DescribeDiagnosticReports | 查询资源诊断报告列表。 |
ecs:DescribeDiagnosticReportAttributes | 查询资源诊断详情。 |
ecs:DescribeDiagnosticMetricSets | 查询资源诊断集合列表。 |
ecs:DescribeDiagnosticMetrics | 查询诊断指标列表。 |
ecs:DescribeSecurityGroupAttribute | 查询一个安全组的安全组规则。 |
ecs:DescribeSecurityGroups | 查询安全组的基本信息。 |
ecs:DescribeSecurityGroupReferences | 查询一个安全组和其他哪些安全组有安全组级别的授权行为。 |
ecs:DescribeBandwidthLimitation | 查询带宽资源列表。 |
ecs:DescribeCloudAssistantStatus | 查询一台或者多台实例是否安装了云助手Agent。 |
ecs:DescribeCommands | 查询已经创建的云助手命令。 |
ecs:DescribeInvocationResults | 查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:CreateCommand | 新建一条云助手命令。 |
ecs:InvokeCommand | 为一台或多台ECS实例触发一条云助手命令。 |
ecs:StopInvocation | 停止一台或多台ECS实例中正在进行(Running)的云助手命令进程。 |
ecs:RunCommand | 新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:DescribeVpcAttribute | 查询指定VPC的配置信息。 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
vpc:DescribeVSwitchAttributes | 查询交换机的配置信息。 |
vpc:DescribeRouteTableList | 查询路由表列表。 |
vpc:DescribeRouteEntryList | 查询路由条目列表。 |
vpc:DescribeNatGateways | 查询指定地域指定条件的NAT网关的详细信息。 |
vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
vpc:DescribeRouteTables | 查询路由表信息。 |
vpc:DescribeSnatTableEntries | 查询已创建的SNAT条目。 |
vpc:DescribeNetworkAcls | 查看网络ACL列表。 |
vpc:DescribeNetworkAclAttributes | 查询网络ACL的详细信息。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:DescribeVServerGroups | 查询服务器组列表。 |
slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查询TCP监听配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查询UDP监听的配置。 |
slb:DescribeAccessControlLists | 查询已创建的访问控制策略组。 |
slb:DescribeAccessControlListAttribute | 查询访问控制策略组的配置。 |
slb:DescribeLoadBalancerListeners | 查询负载均衡监听列表详情。 |
slb:DescribeHealthStatus | 查询后端服务器的健康状态。 |
SLS相关权限
权限名称(Action) | 说明 |
sls:GetLogStore | 查看Logstore的详细信息。 |
CS相关权限
权限名称(Action) | 说明 |
cs:DescribeClusterDetail | 查看集群的详细信息。 |
cs:DescribeClusterResources | 查询指定集群的所有资源。 |
cs:DescribeTasks | 查询指定集群Task。 |
cs:DescribeTaskInfo | 查询指定集群Task信息。 |
cs:DescribeClusterNodePools | 查询集群内所有节点池详情。 |
cs:DescribeNodePoolVuls | 查询指定集群节点池的漏洞列表。 |
cs:DescribeClusterAddonsUpgradeStatus | 查询多个组件的升级状态。 |
ECI相关权限
权限名称(Action) | 说明 |
eci:DescribeContainerGroups | 批量获取容器组信息。 |
eci:RunCommand | 在ECI实例中执行Shell类型的脚本。 |
eci:DescribeCommandResult | 查看命令的执行结果。 |
eci:ListUsage | 查询指定地域的权益配额。 |
CMS相关权限
权限名称(Action) | 说明 |
cms:DescribeMetricData | 查询指定时间段内云服务的监控数据。 |
cms:DescribeMetricLast | 查询指定监控项的最新监控数据。 |
cms:DescribeMetricMetaList | 查询云监控开放的监控项描述。 |
cms:DescribeMetricTop | 查询排序后的指定云服务的监控数据。 |
cms:QueryMetricMeta | 查询云监控的监控项。 |
cms:QueryMetricTop | 查询指定云服务的监控数据。 |
cms:ListMetricMeta | 列出指标元数据。 |
cms:ListMetricMetaProject | 列出指标元项目。 |
cms:QueryMetricData | 查询云服务的监控数据。 |
cms:QueryMetricLast | 查询监控项的最新监控数据。 |
cms:DescribeMetricList | 查询指定云产品的指定监控项的监控数据。 |
cms:QueryMetricList | 查询云监控的监控项描述。 |
cms:MetricMeta | 查询云监控的监控项。 |
cms:DescribeAlertLogList | 查询最近的报警历史。 |
cms:DescribeSystemEventAttribute | 查询系统事件详情。 |
cms:GetMetricStreamMeta | 查询云监控的监控项描述信息。 |
QUOTAS相关权限
权限名称(Action) | 说明 |
quotas:ListProducts | 查询配额中心已支持的云服务列表。 |
quotas:ListProductQuotas | 查询目标云服务的配额列表。 |
quotas:ListProductQuotaDimensions | 查询目标云服务支持的配额维度。 |
quotas:GetProductQuota | 查询目标配额详情。 |
quotas:GetProductQuotaDimension | 查询目标云服务支持的配额维度详情。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:ListPoliciesForRole | 列举RAM Role Policy相关资源权限。 |
GRACE相关权限
权限名称(Action) | 说明 |
grace:GetFile | 获取ATP分析文件信息。 |
grace:AnalyzeFile | 在ATP平台分析文件。 |
grace:UploadFileByOSS | 通过OSS上传文件到ATP平台。 |
grace:UploadFileByURL | 通过URL上传文件到ATP平台。 |
授权使用容器服务计算AI助手Agent功能
进入访问控制快速授权页面,单击确认授权创建角色AliyunCSAIAssistantRole并为该角色授予AliyunCSAIAssistantRolePolicy系统权限,以允许容器服务计算AI助手扮演当前登录的阿里云用户,并使用该用户的权限调用工具。
角色权限说明
RAM相关权限
关于RAM扮演角色的机制,请参见AssumeRole - 获取扮演角色的临时身份凭证。
{
"Version": "1",
"Statement": [
{
"Action": [
"cs:DescribeClusterVuls",
"cs:DescribeKubernetesVersionMetadata",
"cs:DescribeClusterEndpoints",
"cs:DescribePolicyInstancesStatus",
"cs:GetClusterCheckResult",
"cs:GetCostCheckItem",
"cs:CheckControlPlaneLogEnable",
"cs:GetClusterAuditProject",
"cs:DescribeClusterDetail",
"cs:DescribeClusters",
"cs:CreateClusterDiagnosis",
"cs:CreateClusterInspectConfig",
"cs:GetClusterDiagnosisResult",
"cs:RunClusterInspect",
"cs:RunClusterCheck",
"cs:ListClusterInspectReports",
"cs:GetClusterInspectReportDetail",
"cs:ListClusterChecks",
"cs:GetClusters"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-sas:DescribeSuspEvents",
"yundun-sas:DescribeVulDetails"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cr:CreateClusterImageAnalysisTask",
"cr:GetClusterImageAnalysisTask"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"arms:GetPrometheusInstance",
"arms:GetCloudClusterAllUrl"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"log:ListProject",
"log:ListTagResources",
"log:ListLogStores",
"log:ListConsumerGroup",
"log:GetProject",
"log:GetAlert",
"log:GetIndex",
"log:GetLogStore",
"log:GetLogStoreLogs"
],
"Resource": "*"
}
]
}Kubernetes集群RBAC权限
容器服务计算AI助手扮演当前登录的阿里云用户,并继承该用户的Kubernetes集群资源RBAC权限。