默认情况下,RAM用户没有使用云服务OpenAPI的任何权限,若您通过RAM用户或RAM角色使用ACK One时,需要为RAM用户或RAM角色授予ACK One资源的操作权限(例如创建舰队集群、关联集群、创建工作流集群等),才能正常使用ACK One的功能。ACK One提供默认系统权限策略,用于指定全局资源的读写访问控制,本文为您介绍如何为RAM用户或RAM角色授予系统权限策略。
注意事项
您需要使用阿里云(主账号)或RAM管理员账号为RAM用户或RAM角色授权,普通RAM用户无授权操作的权限。
ACK One支持的系统权限策略
RAM系统权限策略 | 权限说明 | 集群是否涉及 | ||
注册集群 | 多集群舰队 | 工作流集群 | ||
AliyunAdcpFullAccess | 当RAM用户或RAM角色需要ACK One所有资源的读写权限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 当RAM用户或RAM角色需要ACK One所有资源的只读权限。 | 是 | 是 | 是 |
AliyunCSFullAccess | 当RAM用户或RAM角色需要容器服务产品所有资源的读写权限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 当RAM用户或RAM角色需要容器服务产品所有资源的只读权限。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 当RAM用户或RAM角色在创建集群时选择指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 当RAM用户或RAM角色需要将集群Pod调度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 当RAM用户或RAM角色在创建集群时选择已有Log Project存储审计日志,或查看指定集群的配置巡检。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 当RAM用户或RAM角色需要查看集群阿里云Prometheus插件的监控状态。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 当RAM用户或RAM角色需要查看已有的权限策略。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 当RAM用户或RAM角色为集群添加已有云上节点或查看节点详细信息。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 当RAM用户或RAM角色需要查看阿里云账号内的业务镜像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 当RAM用户或RAM角色需要使用集群拓扑功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 当RAM用户或RAM角色需要查看指定集群的运行时安全监控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 当RAM用户或RAM角色在创建集群时启用Secret落盘加密能力。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 当RAM用户或RAM角色需要执行云上节点池的相关操作,例如查看、编辑和扩缩容等。 | 是 | 不涉及 | 不涉及 |
为RAM用户或RAM角色授权
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为RAM用户添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
指定授权主体。
授权主体即需要添加权限的RAM用户。
在选择权限区域,单击系统策略,在搜索框中输入需要授权的系统策略,然后单击策略名称。
说明每次最多绑定5条策略,如需绑定更多策略,请分次操作。
单击确定。
单击完成。
相关文档
RAM系统策略仅控制ACK One集群资源的操作权限,若RAM用户或RAM角色需要操作指定集群内的K8s资源(例如创建Pod、获取Node信息等),还需要获取指定ACK集群及其命名空间的操作权限即RBAC权限。具体授权操作,请参见为RAM用户或RAM角色授予RBAC权限。