当前托管集群节点默认的WorkerRolePolicy权限较大,为了进一步加强托管集群节点在多租户场景下的安全隔离性,容器服务Kubernetes版ACK(Container Service for Kubernetes)已收敛托管集群节点RAM角色绑定的权限。
角色授权
原有的RAM角色绑定权限被收敛后,原有节点角色中用于集群系统addon组件的权限策略将被删除,同时增加addon各组件对应的ACK系统角色。角色权限收敛后您在ACK控制台创建托管集群时,系统会提示进行以下系统角色授权,您可以使用主账号或具有AliyunRAMFullAccess或AdministratorAccess授权的子账号单击前往RAM进行授权,进入RAM的批量授权页面进行授权。
说明 如果您使用OpenAPI创建集群,请使用授权链接进行授权。
在批量授权页面最下方,单击同意授权后,重新登录容器服务管理控制台即可创建集群。
上述批量授权将增加以下系统角色的授权,用于集群addon组件的OpenAPI调用:
- AliyunCSManagedLogRole
- AliyunCSManagedCmsRole
- AliyunCSManagedCsiRole
- AliyunCSManagedVKRole
- AliyunCSManagedNetworkRole
- AliyunCSManagedArmsRole
收敛后的默认WorkerRole的RAM策略定义如下。
{
"Version": "1",
"Statement": [{
"Action": [
"ecs:DescribeInstanceAttribute",
"ecs:DescribeInstanceTypesNew",
"ecs:DescribeInstances"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"log:GetProject",
"log:GetLogStore",
"log:GetConfig",
"log:GetMachineGroup",
"log:GetAppliedMachineGroups",
"log:GetAppliedConfigs",
"log:GetIndex",
"log:GetSavedSearch",
"log:GetDashboard",
"log:GetJob"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"cr:GetAuthorizationToken",
"cr:ListInstanceEndpoint",
"cr:PullRepository"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}