默认情况下,RAM用户没有使用云服务OpenAPI的任何权限,若您通过RAM用户或RAM角色使用ACK One时,需要为RAM用户或RAM角色授予ACK One资源的操作权限(例如创建舰队集群、关联集群、创建工作流集群等),才能正常使用ACK One的功能。ACK One提供默认系统权限策略,用于指定全局资源的读写访问控制,本文为您介绍如何为RAM用户或RAM角色授予系统权限策略。
注意事项
您需要使用阿里云(主账号)或RAM管理员账号为RAM用户或RAM角色授权,普通RAM用户无授权操作的权限。
ACK One支持的系统权限策略
RAM系统权限策略 | 权限说明 | 集群是否涉及 | ||
注册集群 | 多集群舰队 | 工作流集群 | ||
AliyunAdcpFullAccess | 当RAM用户或RAM角色需要ACK One所有资源的读写权限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 当RAM用户或RAM角色需要ACK One所有资源的只读权限。 | 是 | 是 | 是 |
AliyunCSFullAccess | 当RAM用户或RAM角色需要容器服务产品所有资源的读写权限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 当RAM用户或RAM角色需要容器服务产品所有资源的只读权限。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 当RAM用户或RAM角色在创建集群时选择指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 当RAM用户或RAM角色需要将集群Pod调度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 当RAM用户或RAM角色在创建集群时选择已有Log Project存储审计日志,或查看指定集群的配置巡检。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 当RAM用户或RAM角色需要查看集群阿里云Prometheus插件的监控状态。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 当RAM用户或RAM角色需要查看已有的权限策略。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 当RAM用户或RAM角色为集群添加已有云上节点或查看节点详细信息。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 当RAM用户或RAM角色需要查看阿里云账号内的业务镜像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 当RAM用户或RAM角色需要使用集群拓扑功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 当RAM用户或RAM角色需要查看指定集群的运行时安全监控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 当RAM用户或RAM角色在创建集群时启用Secret落盘加密功能。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 当RAM用户或RAM角色需要执行云上节点池的相关操作,例如查看、编辑和扩缩容等。 | 是 | 不涉及 | 不涉及 |
为RAM用户或RAM角色授权
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。
在新增授权面板,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。
单击确认新增授权。
相关文档
RAM系统策略仅控制ACK One集群资源的操作权限,若RAM用户或RAM角色需要操作指定集群内的K8s资源(例如创建GitOps Application和Workflow等),还需要获取指定ACK One舰队和工作流集群及其命名空间的操作权限即RBAC权限。具体授权操作,请参见为RAM用户或RAM角色授予RBAC权限。