关于CheckServiceRole鉴权失败公告

容器服务控制台新增对接口CheckServiceRole的调用,该接口用于控制台检查当前RAM用户或RAM角色是否授予了容器服务集群和组件功能所依赖的服务角色的授权状态信息。请您及时使用阿里云账号为RAM用户或RAM角色添加权限,避免其访问控制台时发生CheckServiceRole鉴权错误。

变更影响

若您使用RAM用户或RAM角色登录控制台,并且拥有如下权限将会在影响范围内:

  • 当前登录的RAM用户或RAM角色只有集群维度的cs接口权限,即账号绑定的RAM自定义授权策略中resource字段定义了指定的集群。

  • 当前登录的RAM用户或RAM角色配置了指定资源组内cs接口的全部权限,该资源组仅管理账号下的部分集群。

由于CheckServiceRole接口需要cs容器服务ACK全局维度的资源权限,当您使用RAM用户或RAM角色登录控制台时,在创建集群、管理节点池等页面进行操作时,仍会提示错误码为StatusForbidden、鉴权操作为cs:CheckServiceRole的权限不足错误信息。

修改权限策略

当出现以上问题时,请联系您的权限管理员为当前RAM用户或RAM角色增加权限,新增如下权限策略内容。具体操作,请参见修改自定义权限策略内容和备注

{
    "Statement": [
        {
            "Action": [
                "cs:CheckServiceRole"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ],
    "Version": "1"
}