使用Ack One功能需要哪些权限_容器服务 Kubernetes 版 ACK(ACK)-阿里云帮助中心

根据权限类型，分布式云容器平台 ACK One的权限包括服务角色、RAM权限策略和RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式云容器平台 ACK One的功能。

权限类型

权限类型	是否必须授权	权限说明
服务角色	仅在第一次使用ACK One服务时需要授权，使用阿里云账号（主账号）或者RAM管理员账号（子账号）授权一次即可。	授权后，ACK One服务才能访问其他关联云服务资源。
RAM系统权限策略	RAM用户或RAM角色必须授权阿里云账号默认拥有权限，无需授权	授权后，RAM用户或RAM角色才能使用ACK One的功能。
RBAC权限	RAM用户或RAM角色必须授权阿里云账号默认拥有权限，无需授权	授权后，RAM用户或RAM角色才能对ACK One集群内的K8s资源进行操作。

服务角色

服务角色是某个云服务在某些情况下，为了完成自身的某个功能，需要获取其他云服务的访问权限而提供的RAM角色。

例如，在ACK One上创建工作流集群后，ACK One服务需要创建弹性容器ECI实例运行工作流。此时，ACK One就需要拥有创建ECI实例的相应权限。

ACK One提供以下服务角色，具体的策略内容，请参见ACK One服务角色策略内容。

角色名称	角色权限说明
AliyunCSDefaultRole	ACK One在集群管控操作中使用该角色访问您在ECS、VPC、SLB、ROS、ESS等服务中的资源。必须授予该角色的权限，授权后才能正常使用ACK One功能。
AliyunServiceRoleForAdcp	ACK One在集群管控操作中使用该角色访问您在ECS、VPC、SLB等相关云服务中的资源。必须授予该角色的权限，授权后才能正常使用ACK One功能。
AliyunAdcpServerlessKubernetesRole	ACK One多集群舰队和分布式工作流Argo集群需要使用该角色，访问VPC、ECS、PrivateZone、ECI、SLS等服务中的资源。必须授予该角色的权限，授权后才能正常使用ACK One功能。
AliyunAdcpManagedMseRole	ACK One多集群舰队需要使用该角色访问MSE等服务中的资源。该角色权限仅在使用多集群网关功能时需要授权，未授权不影响其他功能使用。

服务角色无需手动创建，您在首次使用ACK One控制台和相关功能时，控制台界面会自动弹出授权提示，您只需要按照提示操作即可完成自动授权。

重要

仅阿里云账号（主账号）或RAM管理员账号可以完成服务角色的自动授权，普通RAM用户没有授权操作的权限。如果您在操作时系统提示权限不足，请将账号切换到阿里云（主账号）或RAM管理员账号完成授权。

RAM系统权限策略

默认情况下，RAM用户没有使用云服务OpenAPI的任何权限，若您通过RAM用户或RAM角色使用ACK One时，则需要为RAM用户或RAM角色授予ACK One资源的操作权限，才能正常使用ACK One的功能。

ACK One提供以下默认系统权限策略，用于指定全局资源的读写访问控制，您可以根据业务需求为RAM用户或RAM角色添加对应的系统策略。

具体授权操作，请参见为RAM用户或RAM角色授予系统权限策略。

RAM系统权限策略	权限说明	集群是否涉及
RAM系统权限策略	权限说明	注册集群	多集群舰队	工作流集群
AliyunAdcpFullAccess	当RAM用户或RAM角色需要ACK One所有资源的读写权限。	是	是	是
AliyunAdcpReadOnlyAccess	当RAM用户或RAM角色需要ACK One所有资源的只读权限。	是	是	是
AliyunCSFullAccess	当RAM用户或RAM角色需要容器服务产品所有资源的读写权限。	是	是	不涉及
AliyunCSReadOnlyAccess	当RAM用户或RAM角色需要容器服务产品所有资源的只读权限。	是	是	不涉及
AliyunVPCReadOnlyAccess	当RAM用户或RAM角色在创建集群时选择指定VPC。	是	是	是
AliyunECIReadOnlyAccess	当RAM用户或RAM角色需要将集群Pod调度到ECI上。	是	是	是
AliyunLogReadOnlyAccess	当RAM用户或RAM角色在创建集群时选择已有Log Project存储审计日志，或查看指定集群的配置巡检。	是	是	是
AliyunARMSReadOnlyAccess	当RAM用户或RAM角色需要查看集群阿里云Prometheus插件的监控状态。	是	是	是
AliyunRAMReadOnlyAccess	当RAM用户或RAM角色需要查看已有的权限策略。	是	是	是
AliyunECSReadOnlyAccess	当RAM用户或RAM角色为集群添加已有云上节点或查看节点详细信息。	是	不涉及	不涉及
AliyunContainerRegistryReadOnlyAccess	当RAM用户或RAM角色需要查看阿里云账号内的业务镜像。	是	不涉及	不涉及
AliyunAHASReadOnlyAccess	当RAM用户或RAM角色需要使用集群拓扑功能。	是	不涉及	不涉及
AliyunYundunSASReadOnlyAccess	当RAM用户或RAM角色需要查看指定集群的运行时安全监控。	是	不涉及	不涉及
AliyunKMSReadOnlyAccess	当RAM用户或RAM角色在创建集群时启用Secret落盘加密功能。	是	不涉及	不涉及
AliyunESSReadOnlyAccess	当RAM用户或RAM角色需要执行云上节点池的相关操作，例如查看、编辑和扩缩容等。	是	不涉及	不涉及

RBAC权限

RAM系统策略仅控制ACK One集群资源的操作权限，若RAM用户或RAM角色需要操作指定集群内的K8s资源，例如：创建并获取GitOps Application和Argo Workflow等，还需要获取指定ACK One集群及其命名空间的操作权限即RBAC权限。

ACK One提供以下预置角色：

多集群舰队和工作流集群RBAC权限

RBAC权限	权限说明	集群是否涉及
RBAC权限	权限说明	多集群舰队	工作流集群
admin（管理员）	具有集群范围和所有命名空间下资源的读写权限。	是	是
dev（开发人员）	具有所选命名空间下的资源读写权限。	是	是
gitops-dev（gitops开发人员）	具有argocd命名空间下应用资源的读写权限。	是	不涉及

注册集群RBAC权限

RBAC权限所控制的具体资源列表以及授权操作，请参见为RAM用户或RAM角色授予RBAC权限。