在常见的多租场景下,容器服务 Kubernetes 版会为不同用户角色签发带有其身份信息的KubeConfig凭证用于连接集群。当企业内部员工离职或是某签发KubeConfig疑似泄露等情况发生时,吊销该集群的KubeConfig可有效保障集群的安全。本文介绍阿里云账号(主账号)或RAM用户如何吊销已经分发的用户KubeConfig凭证。
使用须知
集群限制
吊销KubeConfig凭证的集群为ACK托管集群或ACK专有集群时,集群创建时间需为2019年10月15日之后。
吊销KubeConfig凭证的集群为ACK Serverless集群时,集群创建时间需为2019年09月06日之后。
使用场景
吊销KubeConfig凭证包含以下两种场景:
阿里云账号(主账号)吊销其管理范围内(其所有RAM用户)的KubeConfig凭证。
RAM用户吊销自身的KubeConfig凭证。
吊销集群的KubeConfig凭证后,系统会自动分配新的KubeConfig凭证。
阿里云账号(主账号)吊销其RAM用户的KubeConfig凭证
仅支持阿里云账号(主账号)吊销其他RAM用户或RAM角色的KubeConfig凭证。
您可以使用阿里云账号(主账号)登录控制台,进行如下操作。
登录容器服务管理控制台,在左侧导航栏选择授权管理。
在RAM用户页签的用户列表,单击目标RAM用对应的管理KubeConfig,获取该RAM用户创建的集群列表,然后按照对话框提示完成目标集群的吊销操作。
RAM用户吊销自身的KubeConfig凭证
您可以使用RAM用户登录控制台,进行如下操作。
吊销KubeConfig后,对应RAM用户无法再使用原KuberConfig连接集群。请谨慎操作。
登录容器服务管理控制台,在左侧导航栏选择集群。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息。
单击连接信息页签,然后单击红色按钮吊销 KubeConfig,然后单击确定。
吊销离职员工或非受信用户的KubeConfig凭证
对于离职员工或非受信用户,请您务必先使用阿里云账号(主账号)吊销离职用户的KubeConfig权限,然后再删除对应的RAM用户或RAM角色。因为仅删除RAM用户或RAM角色并不会同步删除该用户或角色拥有的集群KubeConfig中的RBAC权限。
请您在删除RAM用户账号之前,并确保其在指定集群的KubeConfig没有业务依赖的情况下,吊销离职员工或非受信用户的KubeConfig权限。具体操作,请参见阿里云账号(主账号)吊销其RAM用户的KubeConfig凭证。
(不推荐)若离职员工或非受信用户的RAM用户账号不小心被删除,但还未吊销该账号的KubeConfig凭证,请根据以下情况操作。