本文描述容器计算服务支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。
什么是系统权限策略
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了两种类型的权限策略:系统策略和自定义策略。系统策略统一由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。自定义策略由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。在产品迭代过程中,容器计算服务会向系统策略中添加新的权限,用来支持新的功能和能力。系统策略的更新将会影响所有授予了该策略的 RAM 身份,包括 RAM 用户、RAM 用户组和 RAM 角色。有关 RAM 权限策略的更多信息,请参阅权限策略概览。
产品系统策略旨在帮助用户快速入门,仅需简单配置即可通过控制台访问该产品及其依赖产品。虽然系统策略包含的权限同样适用于 OpenAPI 或 CLI 等访问方式,但为了提高安全性,我们推荐您在这些场景下使用自定义策略,按需授予人员及应用特定 API 的访问权限。
系统策略可进一步细分为产品系统策略、服务角色策略和服务关联角色策略三类。部分云产品仅提供三类策略中的一类或两类,请以本文实际展示的策略类型为准。
产品系统策略
AccFullAccess
您可以将 AccFullAccess 策略授权给RAM身份。本策略定义了管理容器计算服务(ACS)的权限。
AccFullAccess
您可以将 AccFullAccess 策略授权给RAM身份。本策略定义了管理容器计算服务(ACS)的权限。
AccReadOnlyAccess
您可以将 AccReadOnlyAccess 策略授权给RAM身份。本策略定义了只读访问容器计算服务(ACS)的权限。
AliyunAccFullAccess
您可以将 AliyunAccFullAccess 策略授权给RAM身份。本策略定义了管理容器计算服务(ACS)的权限。
AliyunAccReadOnlyAccess
您可以将 AliyunAccReadOnlyAccess 策略授权给RAM身份。本策略定义了只读访问容器计算服务(ACS)的权限。
服务角色策略
AliyunCCAgentSandboxRolePolicy
AliyunCCAgentSandboxRolePolicy 是服务角色 AliyunCCAgentSandboxRole 专用的授权策略,ACS AgentSandbox功能使用此角色来访问您在其他云产品中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCCISDefaultRolePolicy
AliyunCCCISDefaultRolePolicy 是服务角色 AliyunCCCISDefaultRole 专用的授权策略,您在通过ACS使用Kubernetes集群巡检服务时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCCSIPluginRolePolicy
AliyunCCCSIPluginRolePolicy 是服务角色 AliyunCCCSIPluginRole 专用的授权策略,您在通过ACS使用存储产品服务时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCForResourceProviderRolePolicy
AliyunCCForResourceProviderRolePolicy 是服务角色 AliyunCCForResourceProviderRole 专用的授权策略,ACS使用此角色来授权访问您在创建ACS容器实例时所依赖的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCKubernetesAuditRolePolicy
AliyunCCKubernetesAuditRolePolicy 是服务角色 AliyunCCKubernetesAuditRole 专用的授权策略,您在通过ACS使用Kubernetes审计日志服务时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedACSBrokerRolePolicy
AliyunCCManagedACSBrokerRolePolicy 是服务角色 AliyunCCManagedACSBrokerRole 专用的授权策略,ACS使用此角色来授权访问您在查看ACS容器实例状态等运维信息时所依赖的云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedAcrRolePolicy
AliyunCCManagedAcrRolePolicy 是服务角色 AliyunCCManagedAcrRole 专用的授权策略,您在通过ACS使用ACR免密插件拉取容器镜像时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedApigRolePolicy
AliyunCCManagedApigRolePolicy 是服务角色 AliyunCCManagedApigRole 专用的授权策略,ACS使用此角色来访问您在APIG中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedArmsRolePolicy
AliyunCCManagedArmsRolePolicy 是服务角色 AliyunCCManagedArmsRole 专用的授权策略,您在通过ACS使用ARMS满足监控需求时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedCostRolePolicy
AliyunCCManagedCostRolePolicy 是服务角色 AliyunCCManagedCostRole 专用的授权策略,ACS使用此角色来访问您在其他云产品中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedLogRolePolicy
AliyunCCManagedLogRolePolicy 是服务角色 AliyunCCManagedLogRole 专用的授权策略,您在通过ACS使用日志服务时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedMseRolePolicy
AliyunCCManagedMseRolePolicy 是服务角色 AliyunCCManagedMseRole 专用的授权策略,ACS使用此角色来访问您在其他云产品中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedNetworkRolePolicy
AliyunCCManagedNetworkRolePolicy 是服务角色 AliyunCCManagedNetworkRole 专用的授权策略,ACS使用此角色来访问您网络相关云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedSecurityRolePolicy
AliyunCCManagedSecurityRolePolicy 是服务角色 AliyunCCManagedSecurityRole 专用的授权策略,ACS使用此角色访问您的KMS服务用于管控面落盘加密组件token下发。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCManagedVirtualNodeRolePolicy
AliyunCCManagedVirtualNodeRolePolicy 是服务角色 AliyunCCManagedVirtualNodeRole 专用的授权策略,ACS使用此角色来授权访问您在创建ACS虚拟节点时所依赖的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCNECRolePolicy
AliyunCCNECRolePolicy 是服务角色 AliyunCCNECRole 专用的授权策略,您在通过ACS申请并使用EIP时,ACS使用此角色授权策略授权访问该功能所需要的您的其他云产品资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
AliyunCCPrivateZoneRolePolicy
AliyunCCPrivateZoneRolePolicy 是服务角色 AliyunCCPrivateZoneRole 专用的授权策略,ACS使用此角色来访问您在其他云产品中的资源。请勿将本策略授权给服务角色之外的RAM身份。如果产品提供精确授权的能力,请严格参考产品提供的帮助文档进行操作。
服务关联角色策略
AliyunServiceRolePolicyForAcc
容器计算服务使用服务关联角色 AliyunServiceRoleForAcc 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForAcc 是 AliyunServiceRoleForAcc 专用的授权策略。本策略由容器计算服务定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
AliyunServiceRolePolicyForAccImc
容器计算服务使用服务关联角色 AliyunServiceRoleForAccImc 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForAccImc 是 AliyunServiceRoleForAccImc 专用的授权策略。本策略由容器计算服务定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
授权操作参考
RAM 身份默认没有任何权限,需要由阿里云账号管理员为其授权后才能访问阿里云账号下的资源。为保证资源的数据安全,建议您遵循最小授权原则为允许访问云资源的身份授予恰好够用的权限。授权的详细操作请参见: