开通容器计算服务 ACS(Container Compute Service)时,您需要为服务账号授予系统默认角色,当且仅当该角色被正确授予后,容器计算服务才能正常地调用相关云资源(VPC、ENI、NAS、SLB等),创建集群以及保存日志等。本文介绍容器计算服务ACS默认角色包含的权限。
角色权限内容
容器计算服务ACS包含的默认角色说明如下表所示。
角色 | 角色说明 |
AliyunServiceRoleForAcc | 该角色为服务关联角色,ACS在集群管控操作中使用该角色访问您在ACK、ECS、VPC、SLB、ARMS等服务的资源。 |
AliyunCCCSIPluginRole | ACS集群默认使用该角色访问您在云盘、NAS等存储服务的资源。 |
AliyunCCCCMServiceRole | ACS集群默认使用该角色来访问您在SLB、ALB等负载均衡服务的资源。 |
AliyunCCNECRole | ACS集群默认使用该角色来访问VPC、ECS等网络相关服务的资源,创建并使用EIP。 |
AliyunCCKubernetesAuditRole | ACS集群默认使用该角色访问SLS日志服务的资源,采集并展示Kubernetes审计日志。 |
AliyunCCManagedLogRole | ACS集群默认使用该角色访问SLS日志服务的资源,采集并展示ACS 容器日志。 |
AliyunCCManagedArmsRole | ACS集群默认使用该角色访问Arms监控服务的资源,采集并展示ACS 容器各项资源指标,以及应用性能指标监控。 |
AliyunCCCISDefaultRole | ACS集群默认使用该角色访问ECS、ACK、VPC、SLB等云服务的资源,定期检查K8s及组件等健康状态。 |
AliyunCCManagedAcrRole | ACS集群默认使用该角色访问ACR容器镜像服务获取临时账号密码,用于启动ACS Pod实例。 |
AliyunCCForResourceProviderRole | ACS集群默认使用该角色在创建Pod时访问依赖云产品资源。 |
AliyunCCManagedVirtualNodeRole | ACS集群默认使用该角色在创建虚拟节点时访问依赖云产品资源。 |
AliyunCCManagedACSBrokerRole | ACS集群默认使用该角色在获取Pod运维信息时访问依赖云产品资源。 |
AliyunCCManagedMseRole | ACS集群默认使用该角色访问MSE服务的资源,创建并使用MSE网关。 |
AliyunCSManagedKubernetesRole | ACS集群中的控制面核心组件使用该角色访问您在ECS、SLB、ALB、CMS、SLS、云安全中心等服务中的资源接口。 |
AliyunCSDefaultRole | ACS默认使用该角色对Kubernetes集群进行创建、删除、升级等操作。 |
AliyunServiceRoleForAcc
该角色为服务关联角色,ACS在集群管控操作中使用该角色访问您在ACK、ECS、VPC、SLB、ARMS等服务的资源。
ECS相关权限
权限名称(Action) | 说明 |
ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:AttachNetworkInterface | 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。 |
ecs:DetachNetworkInterface | 从一台ECS实例上分离一个弹性网卡(ENI)。 |
ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
ecs:DescribeInstanceAttribute | 查询一台或多台ECS实例部分信息。 |
ecs:AssignPrivateIpAddresses | 为一块弹性网卡分配一个或多个辅助私有IP地址。 |
ecs:UnassignPrivateIpAddresses | 从一块弹性网卡删除一个或多个辅助私有IP地址。 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DescribeInstanceTypes | 查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。 |
ecs:AssignIpv6Addresses | 为一块弹性网卡分配一个或多个IPv6 IP地址。 |
ecs:UnassignIpv6Addresses | 为一块弹性网卡删除一个或多个IPv6 IP地址。 |
ecs:ModifyNetworkInterfaceAttribute | 修改弹性网卡(ENI)信息。 |
ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
ecs:DescribeNetworkInterfacePermissions | 查询弹性网卡(ENI)权限。 |
ecs:CreateSecurityGroup | 新建一个安全组。 |
ecs:ModifySecurityGroupEgressRule | 修改安全组出方向规则。 |
ecs:ModifySecurityGroupPolicy | 修改普通安全组内网连通策略。 |
ecs:ModifySecurityGroupRule | 修改安全组入方向规则。 |
ecs:DescribeSecurityGroups | 查询您创建的安全组的基本信息。 |
ecs:RevokeSecurityGroup | 撤销安全组规则。 |
ecs:RevokeSecurityGroupEgress | 删除一条安全组出方向规则,撤销安全组出方向的访问权限。 |
ecs:DeleteSecurityGroup | 删除一个安全组。 |
ecs:DescribeSecurityGroupAttribute | 查询一个安全组的规则。 |
ecs:AuthorizeSecurityGroup | 设置安全组入规则。 |
ecs:AuthorizeSecurityGroupEgress | 设置安全组出规则。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:DescribeVpcAttribute | 查询指定VPC的配置信息。 |
vpc:DescribeVSwitchAttributes | 查询指定vSwitch的配置信息。 |
ACK相关权限
权限名称(Action) | 说明 |
cs:CreateCluster | 创建Kubernetes集群。 |
cs:CreateClusterByResourcesGroup | 创建Kubernetes集群归属于一个资源组。 |
cs:DeleteCluster | 删除Kubernetes集群。 |
cs:DescribeClusterDetail | 查询一个Kubernetes集群的详情信息。 |
cs:DescribeClusterUserKubeconfig | 查询一个Kubernetes集群一个用户的Kubeconfig。 |
cs:DescribeClusters | 查询Kubernetes集群列表。 |
cs:DescribeClustersV1 | 查询Kubernetes集群列表。 |
cs:DescribeEvents | 查询异常事件列表。 |
cs:DescribeTaskInfo | 根据任务ID,查询该任务执行详情。 |
cs:GetClusters | 查询Kubernetes集群列表。 |
cs:ListTagResources | 根据集群ID,查询指定集群资源的标签。 |
cs:ModifyCluster | 修改集群信息。 |
cs:ModifyClusterTags | 修改集群标签。 |
cs:TagResources | 为指定的集群绑定特定标签。 |
cs:UntagResources | 为指定的集群解绑特定标签。 |
ARMS相关
权限名称(Action) | 说明 |
arms:InstallManagedPrometheus | 创建托管的Prometheus。 |
arms:UnInstallManagedPrometheus | 删除托管的指定Prometheus实例。 |
arms:GetManagedPrometheusStatus | 查询托管的指定Prometheus实例状态。 |
SLB相关
权限名称(Action) | 说明 |
slb:AddBackendServers | 添加后端服务器。 |
slb:RemoveBackendServers | 删除后端服务器。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:SetLoadBalancerTCPListenerAttribute | 修改TCP监听的配置。 |
slb:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
AliyunCCCSIPluginRole
ACS集群默认使用该角色访问您在云盘、NAS等存储服务的资源。
EBS相关权限
权限名称(Action) | 说明 |
ebs:CreateContainerDisk | 创建一个云盘。 |
ebs:DescribeContainerDisks | 查询云盘列表。 |
ebs:GetContainerDisk | 查询单个云盘。 |
ebs:DeleteContainerDisk | 删除一个云盘。 |
ECS相关权限
权限名称(Action) | 说明 |
ecs:AttachDisk | 挂载一个云盘。 |
ecs:DetachDisk | 卸载一个云盘。 |
ecs:DescribeDisks | 查询云盘列表。 |
ecs:CreateDisk | 创建一个云盘。 |
ecs:DeleteDisk | 删除一个云盘。 |
ecs:AddTags | 为一个云盘添加标签。 |
ecs:RemoveTags | 为一个云盘移除标签。 |
ecs:DescribeTags | 查询可供使用的标签。 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
NAS相关权限
权限名称(Action) | 说明 |
nas:CreateFileSystem | 创建一个文件系统。 |
nas:CreateMountTarget | 创建文件系统的挂载点。 |
nas:DeleteFileSystem | 删除一个文件系统。 |
nas:DeleteMountTarget | 删除文件系统的挂载点。 |
nas:DescribeFileSystems | 查询文件系统信息。 |
nas:DescribeMountTargets | 查询文件系统的挂载点。 |
nas:ModifyFileSystem | 修改文件系统的描述信息。 |
nas:ModifyMountTarget | 修改文件系统挂载点的描述信息。 |
nas:AddTags | 为文件系统添加标签。 |
nas:DescribeTags | 查询可供使用的标签。 |
nas:RemoveTags | 为文件系统删除标签。 |
nas:EnableRecycleBin | 开启回收站功能。 |
nas:GetRecycleBinAttribute | 查询指定通用型NAS文件系统的回收站配置。 |
nas:SetDirQuota | 设置文件系统的目录配额。 |
nas:DescribeDirQuotas | 获取文件系统每个目录配额的详细信息。 |
AliyunCCCCMServiceRole
ACS集群默认使用该角色通过ACS CCM插件创建并使用SLB、ALB等负载均衡产品。
SLB相关权限
权限名称(Action) | 说明 |
slb:AddBackendServers | 添加后端服务器。 |
slb:AddTags | 为指定的负载均衡实例添加标签。 |
slb:AddVServerGroupBackendServers | 添加后端服务器。 |
slb:CreateLoadBalancer | 创建负载均衡实例。 |
slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听规则。 |
slb:CreateLoadBalancerUDPListener | 为负载均衡实例创建基于UDP协议的监听规则。 |
slb:CreateVServerGroup | 添加后端服务器组并向指定的后端服务器组中添加后端服务器。 |
slb:DeleteLoadBalancer | 删除后付费的负载均衡实例。 |
slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则。 |
slb:DeleteVServerGroup | 删除服务器组。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:DescribeLoadBalancerHTTPListenerAttribute | 查询HTTP监听配置。 |
slb:DescribeLoadBalancerHTTPSListenerAttribute | 查询HTTPS监听配置。 |
slb:DescribeLoadBalancerListeners | 查询负载均衡监听列表详情。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查询TCP监听配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查询UDP监听配置。 |
slb:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
slb:DescribeTags | 查询可供使用的标签。 |
slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
slb:DescribeVServerGroups | 查询服务器组列表。 |
slb:ModifyLoadBalancerInstanceSpec | 修改负载均衡的实例规格。 |
slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
slb:RemoveBackendServers | 移除后端服务器。 |
slb:RemoveTags | 解绑指定负载均衡实例下的标签。 |
slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
slb:SetLoadBalancerDeleteProtection | 设置实例删除保护状态。 |
slb:SetLoadBalancerHTTPListenerAttribute | 修改HTTP协议监听的配置。 |
slb:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS协议监听的配置。 |
slb:SetLoadBalancerModificationProtection | 设置负载均衡实例修改保护状态。 |
slb:SetLoadBalancerName | 修改负载均衡实例的名称。 |
slb:SetLoadBalancerTCPListenerAttribute | 修改TCP协议监听的配置。 |
slb:SetLoadBalancerUDPListenerAttribute | 修改UDP协议监听的配置。 |
slb:SetVServerGroupAttribute | 修改虚拟服务器组的配置。 |
slb:StartLoadBalancerListener | 启动监听。 |
slb:StopLoadBalancerListener | 停止监听。 |
ALB相关权限
权限名称(Action) | 说明 |
alb:AddServersToServerGroup | 向服务器组中添加后端服务器。 |
alb:AssociateAdditionalCertificatesWithListener | 将扩展证书关联到监听。 |
alb:CreateListener | 在指定地域创建HTTP、HTTPS或QUIC监听。 |
alb:CreateLoadBalancer | 在指定地域创建应用型负载均衡实例。 |
alb:CreateRule | 在指定监听下创建转发规则。 |
alb:CreateRules | 创建多条转发规则。 |
alb:CreateServerGroup | 在指定地域创建服务器组。 |
alb:DeleteListener | 删除指定的监听。 |
alb:DeleteLoadBalancer | 删除指定的负载均衡实例。 |
alb:DeleteRule | 删除指定的转发规则。 |
alb:DeleteRules | 批量删除同一监听下的转发规则。 |
alb:DeleteServerGroup | 删除指定的服务器组。 |
alb:DescribeZones | 查询指定地域的可用区。 |
alb:DisableDeletionProtection | 关闭指定负载均衡实例的删除保护。 |
alb:DisableLoadBalancerAccessLog | 关闭指定负载均衡实例的访问日志。 |
alb:DissociateAdditionalCertificatesFromListener | 将扩展证书从监听上解除关联。 |
alb:EnableDeletionProtection | 开启指定资源的删除保护。 |
alb:EnableLoadBalancerAccessLog | 开启指定负载均衡实例的访问日志。 |
alb:GetListenerAttribute | 查询监听的详细信息。 |
alb:GetLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
alb:ListListenerCertificates | 查询指定监听关联的证书,包含扩展证书和默认证书。 |
alb:ListListeners | 查询指定地域的监听。 |
alb:ListLoadBalancers | 查询指定地域的负载均衡。 |
alb:ListRules | 查询指定地域的转发规则。 |
alb:ListServerGroupServers | 查询服务器组中的服务器。 |
alb:ListServerGroups | 查询指定地域的服务器组。 |
alb:RemoveServersFromServerGroup | 从服务器组中移除后端服务器。 |
alb:ReplaceServersInServerGroup | 替换后端服务器组中的后端服务器。 |
alb:TagResources | 给指定资源添加标签。 |
alb:UnTagResources | 删除资源上配置的标签。 |
alb:UpdateListenerAttribute | 更新监听的配置,如名称、默认动作等。 |
alb:UpdateLoadBalancerAttribute | 更新负载均衡实例属性,如名称、修改保护等。 |
alb:UpdateLoadBalancerEdition | 变更当前负载均衡版本。 |
alb:UpdateRuleAttribute | 更新转发规则属性,如条件、动作、名称等。 |
alb:UpdateRulesAttribute | 批量更新转发规则属性。 |
alb:UpdateServerGroupAttribute | 更新服务器组的配置,例如健康检查、会话保持、名称、调度算法和协议等。 |
alb:DescribeZones | 查询指定地域的可用区。 |
alb:CreateAcl | 在指定地域创建访问控制。 |
alb:DeleteAcl | 删除指定的访问控制。 |
alb:ListAcls | 查询某一个地域的访问控制列表。 |
alb:AddEntriesToAcl | 向访问控制策略组中添加IP条目。 |
alb:AssociateAclsWithListener | 将访问控制关联到监听。 |
alb:ListAclEntries | 查询指定访问控制的条目。 |
alb:RemoveEntriesFromAcl | 从访问控制中移除条目。 |
alb:DissociateAclsFromListener | 将访问控制从监听上解除关联。 |
alb:EnableLoadBalancerIpv6Internet | 将双栈应用型负载均衡实例的IPv6私网变更为IPv6公网。 |
alb:DisableLoadBalancerIpv6Internet | 将双栈应用型负载均衡实例的IPv6公网变更为IPv6私网。 |
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeNetworkInterfaces | 查询一个或多个弹性网卡(ENI)的详细信息。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询可组网的信息,内网按vSwitch进行组网。 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:CreateServiceLinkedRole | 创建新服务关联角色。 |
AliyunCCNECRole
ACS集群默认使用该角色来访问VPC、ECS等网络相关服务的资源,创建并使用EIP。
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询可组网的信息,内网按vSwitch进行组网。 |
vpc:AllocateEipAddress | 申请弹性公网IP(Elastic IP Address,简称EIP)。 |
vpc:AllocateEipAddressPro | 申请指定的弹性公网IP(Elastic IP Address,简称EIP)。 |
vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
vpc:AssociateEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
vpc:UnassociateEipAddress | 将弹性公网IP(EIP)从绑定的云产品上解绑。 |
vpc:ReleaseEipAddress | 释放指定的弹性公网IP(EIP)。 |
vpc:ModifyEipAddressAttribute | 修改指定EIP的名称、描述信息和带宽峰值。 |
vpc:AddCommonBandwidthPackageIp | 添加EIP到共享带宽中。 |
vpc:RemoveCommonBandwidthPackageIp | 移除共享带宽实例中的EIP。 |
vpc:TagResources | 为指定的资源统一创建并绑定标签。 |
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeNetworkInterfaces | 查询一个或多个弹性网卡(ENI)的详细信息。 |
AliyunCCKubernetesAuditRole
ACS集群默认使用该角色访问SLS日志服务的资源,采集并展示K8s审计日志。
权限名称(Action) | 说明 |
log:CreateProject | 创建一个Project。 |
log:GetProject | 根据Project名称查询Project。 |
log:DeleteProject | 删除一个指定的Project。 |
log:CreateLogStore | 在Project下创建Logstore。 |
log:GetLogStore | 查看Logstore属性。 |
log:UpdateLogStore | 更新Logstore的属性。 |
log:DeleteLogStore | 删除Logstore。 |
log:CreateConfig | 创建日志采集配置。 |
log:UpdateConfig | 更新配置内容。 |
log:GetConfig | 获取采集配置的详细信息。 |
log:DeleteConfig | 删除指定的日志采集配置。 |
log:CreateMachineGroup | 根据需求创建一组机器,用以日志收集下发配置。 |
log:UpdateMachineGroup | 更新机器组信息。 |
log:GetMachineGroup | 查看具体的MachineGroup信息。 |
log:DeleteMachineGroup | 删除机器组。 |
log:ApplyConfigToGroup | 将配置应用到机器组。 |
log:GetAppliedMachineGroups | 获得机器组上已经被应用的机器列表。 |
log:GetAppliedConfigs | 获得机器组上已经被应用的配置名称。 |
log:RemoveConfigFromMachineGroup | 从机器组中删除配置。 |
log:CreateIndex | 为指定Logstore创建索引。 |
log:GetIndex | 查询指定Logstore的索引。 |
log:UpdateIndex | 更新指定Logstore的索引。 |
log:DeleteIndex | 删除指定Logstore的索引。 |
log:CreateSavedSearch | 创建快速查询。 |
log:GetSavedSearch | 查看指定快速查询。 |
log:UpdateSavedSearch | 更新快速查询。 |
log:DeleteSavedSearch | 删除快速查询。 |
log:CreateDashboard | 创建仪表盘。 |
log:GetDashboard | 查看指定仪表盘。 |
log:UpdateDashboard | 更新仪表盘。 |
log:DeleteDashboard | 删除仪表盘。 |
log:CreateJob | 创建任务。例如创建告警、订阅。 |
log:GetJob | 查询任务。 |
log:DeleteJob | 删除任务。 |
log:UpdateJob | 更新任务。 |
log:PostLogStoreLogs | 向指定的Logstore写入日志数据。 |
AliyunCCManagedLogRole
ACS集群默认使用该角色通过SLS日志服务组件,采集并展示K8s审计日志。
SLS相关权限
权限名称(Action) | 说明 |
log:CreateProject | 创建一个Project。 |
log:GetProject | 根据Project名称查询Project。 |
log:DeleteProject | 删除一个指定的Project。 |
log:CreateLogStore | 在Project下创建Logstore。 |
log:GetLogStore | 查看Logstore属性。 |
log:UpdateLogStore | 更新Logstore的属性。 |
log:DeleteLogStore | 删除Logstore。 |
log:CreateConfig | 创建日志采集配置。 |
log:UpdateConfig | 更新配置内容。 |
log:GetConfig | 获取采集配置的详细信息。 |
log:DeleteConfig | 删除指定的日志采集配置。 |
log:CreateMachineGroup | 根据需求创建一组机器,用以日志收集下发配置。 |
log:UpdateMachineGroup | 更新机器组信息。 |
log:GetMachineGroup | 查看具体的MachineGroup信息。 |
log:DeleteMachineGroup | 删除机器组。 |
log:ApplyConfigToGroup | 将配置应用到机器组。 |
log:GetAppliedMachineGroups | 获得机器组上已经被应用的机器列表。 |
log:GetAppliedConfigs | 获得机器组上已经被应用的配置名称。 |
log:RemoveConfigFromMachineGroup | 从机器组中删除配置。 |
log:CreateIndex | 为指定Logstore创建索引。 |
log:GetIndex | 查询指定Logstore的索引。 |
log:UpdateIndex | 更新指定Logstore的索引。 |
log:DeleteIndex | 删除指定Logstore的索引。 |
log:CreateSavedSearch | 创建快速查询。 |
log:GetSavedSearch | 查看指定快速查询。 |
log:UpdateSavedSearch | 更新快速查询。 |
log:DeleteSavedSearch | 删除快速查询。 |
log:CreateDashboard | 创建仪表盘。 |
log:GetDashboard | 查看指定仪表盘。 |
log:UpdateDashboard | 更新仪表盘。 |
log:DeleteDashboard | 删除仪表盘。 |
log:CreateJob | 创建任务。例如创建告警、订阅。 |
log:GetJob | 查询任务。 |
log:DeleteJob | 删除任务。 |
log:UpdateJob | 更新任务。 |
log:PostLogStoreLogs | 向指定的Logstore写入日志数据。 |
log:CreateSortedSubStore | 创建排序子存储。 |
log:GetSortedSubStore | 获取排序子存储。 |
log:ListSortedSubStore | 列举排序子存储。 |
log:UpdateSortedSubStore | 更新排序子存储。 |
log:DeleteSortedSubStore | 删除排序子存储。 |
log:CreateApp | 日志服务APP(成本管家、日志审计)的创建权限。 |
log:UpdateApp | 日志服务APP(成本管家、日志审计)的更新权限。 |
log:GetApp | 日志服务APP(成本管家、日志审计)的查看权限。 |
log:DeleteApp | 日志服务APP(成本管家、日志审计)的删除权限。 |
cs:DescribeTemplates | 获取容器模板。 |
cs:DescribeTemplateAttribute | 获取容器模板属性。 |
ACK相关权限
权限名称(Action) | 说明 |
cs:UpdateContactGroup | 更新报警项联系人分组。 |
cs:DescribeTemplates | 查询所有编排模板。 |
cs:DescribeTemplateAttribute | 查询编排模板详情。 |
AliyunCCManagedArmsRole
ACS集群默认使用该角色访问ARMS监控服务的资源,采集并展示ACS容器各项资源指标,以及应用性能指标监控。
ARMS相关权限
权限名称(Action) | 说明 |
arms:CreateApp | 创建应用监控。 |
arms:DeleteApp | 删除应用监控。 |
arms:ConfigAgentLabel | 修改应用监控Agent的标签。 |
arms:GetAssumeRoleCredentials | 获取应用监控角色扮演密钥凭证。 |
arms:CreateProm | 创建阿里云Prometheus监控。 |
arms:SearchEvents | 查询报警事件记录。 |
arms:SearchAlarmHistories | 查询告警历史发送记录。 |
arms:SearchAlertRules | 查询监控告警规则。 |
arms:GetAlertRules | 获取监控告警规则。 |
arms:CreateAlertRules | 创建监控告警规则。 |
arms:UpdateAlertRules | 更新监控告警规则。 |
arms:StartAlertRule | 启动监控告警规则。 |
arms:StopAlertRule | 停止监控告警规则。 |
arms:CreateContact | 创建告警联系人。 |
arms:SearchContact | 查询告警联系人。 |
arms:UpdateContact | 更新告警联系人。 |
arms:CreateContactGroup | 创建告警联系人分组。 |
arms:SearchContactGroup | 查询告警联系人分组。 |
arms:UpdateContactGroup | 更新告警联系人分组。 |
xtrace相关权限
权限名称(Action) | 说明 |
xtrace:GetToken |
AliyunCCCISDefaultRole
ACS集群默认使用该角色访问ECS、ACK、VPC、SLB等云服务的资源,定期检查K8s及组件等健康状态。
ECS相关权限
权限名称(Action) | 说明 |
ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
ecs:DescribeInstanceStatus | 获取多台ECS实例的状态信息。 |
ecs:DescribeInstanceTypes | 查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。 |
ecs:DescribeInstanceTypeFamilies | 查询云服务器ECS提供的实例规格族列表。 |
ecs:DescribeInstanceAttribute | 查询单个ECS实例详情。 |
ecs:DescribeDiagnosticReports | 查询资源诊断报告列表。 |
ecs:DescribeDiagnosticReportAttributes | 查询资源诊断详情。 |
ecs:DescribeDiagnosticMetricSets | 查询资源诊断集合列表。 |
ecs:DescribeDiagnosticMetrics | 查询诊断指标列表。 |
ecs:DescribeSecurityGroupAttribute | 查询一个安全组的安全组规则。 |
ecs:DescribeSecurityGroups | 查询您创建的安全组的基本信息。 |
ecs:DescribeSecurityGroupReferences | 查询一个安全组和其他哪些安全组有安全组级别的授权行为。 |
ecs:DescribeBandwidthLimitation | 查询不同实例规格可以购买、升级或降配的公网带宽上限。 |
ecs:DescribeCloudAssistantStatus | 查询一台或者多台实例是否安装了云助手Agent。如果已安装了云助手,还将查询云助手命令执行的总数量、正在执行的数量以及最近一次命令执行的时间。 |
ecs:DescribeCommands | 查询您手动创建的云助手命令或者阿里云提供的公共命令。 |
ecs:DescribeInvocationResults | 查看一条或多条云助手命令的执行结果,即在ECS实例中的实际执行结果。 |
ecs:CreateCommand | 新建一条云助手命令。 |
ecs:InvokeCommand | 为一台或多台ECS实例触发一条云助手命令。 |
ecs:StopInvocation | 停止一台或多台ECS实例中一条正在进行中(Running)的云助手命令进程。 |
ecs:CreateDiagnosticReport | 创建资源诊断报告。根据您传入诊断指标集合ID,生成多个诊断指标的诊断报告。 |
ecs:DescribeNetworkInterfaces | 查询一个或多个弹性网卡(ENI)的详细信息。 |
ecs:RunCommand | 在一台或多台ECS实例中执行一段Shell、PowerShell或者Bat类型的脚本。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:DescribeVpcAttribute | 查询指定VPC的配置信息。 |
vpc:DescribeVSwitches | 查询可组网的信息,内网按vSwitch进行组网。 |
vpc:DescribeVSwitchAttributes | 查询指定交换机的配置信息。 |
vpc:DescribeRouteTableList | 查询路由表列表。 |
vpc:DescribeRouteEntryList | 查询路由条目列表。 |
vpc:DescribeNatGateways | 以列表形式查询指定地域指定条件NAT网关的详细信息。 |
vpc:DescribeRouteTables | 查询路由表。 |
vpc:DescribeSnatTableEntries | 查询网络ACL的详细信息。 |
vpc:DescribeNetworkAcls | 查看网络ACL列表。 |
vpc:DescribeNetworkAclAttributes | 查询网络ACL的详细信息。 |
vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
SLB相关权限
权限名称(Action) | 说明 |
slb:DescribeLoadBalancers | 查询已创建的负载均衡实例。 |
slb:DescribeLoadBalancerAttribute | 查询指定负载均衡实例的详细信息。 |
slb:DescribeVServerGroups | 查询服务器组列表。 |
slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
slb:DescribeLoadBalancerTCPListenerAttribute | 查询TCP监听配置。 |
slb:DescribeLoadBalancerUDPListenerAttribute | 查询UDP监听配置。 |
slb:DescribeAccessControlLists | 查询已创建的访问控制策略组。 |
slb:DescribeAccessControlListAttribute | 查询访问控制策略组的配置。 |
slb:DescribeLoadBalancerListeners | 查询负载均衡监听列表详情。 |
slb:DescribeHealthStatus | 查询后端服务器的健康状态。 |
SLS相关权限
权限名称(Action) | 说明 |
sls:GetLogStore | 查看Logstore的详细信息。 |
应用诊断分析平台相关权限
权限名称(Action) | 说明 |
grace:GetFile | 获取文件信息。 |
grace:AnalyzeFile | 分析文件。 |
grace:UploadFileByOSS | 通过OSS上传文件。 |
grace:UploadFileByURL | 通过URL上传文件。 |
云监控相关权限
权限名称(Action) | 说明 |
cms:DescribeMetricData | 查询指定云产品的某个监控项的监控数据。 |
cms:DescribeMetricLast | 查询指定监控项的最新监控数据。 |
cms:DescribeMetricMetaList | 查询云监控开放的监控项详情。 |
cms:DescribeMetricTop | 先查询指定云产品的指定监控项的最新监控数据,再查询该监控项排序后的监控数据。 |
cms:QueryMetricMeta | 查询云监控开放的时序类监控项的监控项描述。 |
cms:QueryMetricTop | 查询Top指标。 |
cms:ListMetricMeta | 列出数据源指标。 |
cms:QueryMetricData | 查询指定时间段内的云产品时序指标监控数据。 |
cms:QueryMetricLast | 查询指定监控对象的最新监控数据。 |
cms:DescribeMetricList | 查询指定云产品的指定监控项的监控数据。 |
cms:QueryMetricList | 查询一段时间内指定产品实例的监控数据。 |
cms:DescribeAlertLogList | 查询最近一年的报警历史。 |
cms:DescribeSystemEventAttribute | 查询系统事件详情。 |
ACK相关权限
权限名称(Action) | 说明 |
cs:DescribeClusterDetail | 根据集群ID查询该集群的详情。 |
cs:DescribeClusterResources | 根据集群ID查询该集群的所有资源。 |
cs:DescribeTaskInfo | 根据任务ID,查询该任务执行详情。 |
cs:DescribeClusterAddonsUpgradeStatus | 根据组件名称查询该组件升级状态。 |
资源配额相关权限
权限名称(Action) | 说明 |
quotas:ListProducts | 查询配额中心已支持的云服务列表。 |
quotas:ListProductQuotas | 查询目标云服务的配额列表。 |
quotas:ListProductQuotaDimensions | 查询目标云服务支持的配额维度。 |
quotas:GetProductQuota | 查询目标配额详情。 |
quotas:GetProductQuotaDimension | 查询目标云服务支持的配额维度详情。 |
RAM相关权限
权限名称(Action) | 说明 |
ram:CreateServiceLinkedRole | 创建新服务关联角色。 |
AliyunCCManagedAcrRole
ACS集群默认使用该角色访问ACR容器镜像服务获取临时账号密码,用于启动ACS Pod实例。
CR相关权限
权限名称(Action) | 说明 |
cr:GetAuthorizationToken | 获取用于登录实例的临时账号和临时密码。 |
cr:ListInstanceEndpoint | 查询实例网络访问入口列表。 |
AliyunCCForResourceProviderRole
ACS集群默认使用该角色在创建Pod时访问依赖云产品资源。
ECS相关权限
权限名称(Action) | 说明 |
ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
ecs:DescribeSecurityGroups | 查询安全组的基本信息。 |
ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
ecs:CreateDisk | 创建一个云盘。 |
ecs:DescribeDisks | 查询云盘列表。 |
ecs:AttachDisk | 挂载一个云盘。 |
ecs:DetachDisk | 卸载一个云盘。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
vpc:DescribeVpcs | 查询已创建的VPC。 |
vpc:AllocateEipAddress | 申请弹性公网IP(Elastic IP Address,简称EIP)。 |
vpc:AssociateEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
vpc:UnassociateEipAddress | 将弹性公网IP(EIP)从绑定的云产品上解绑。 |
vpc:ReleaseEipAddress | 释放指定的弹性公网IP(EIP)。 |
AliyunCCManagedVirtualNodeRole
ACS集群默认使用该角色在创建虚拟节点时访问依赖云产品资源。
PVTZ相关权限
权限名称(Action) | 说明 |
pvtz:AddZone | 添加zone。 |
pvtz:DeleteZone | 删除zone。 |
pvtz:DescribeZones | 获取zone列表。 |
pvtz:BindZoneVpc | zone关联VPC。 |
pvtz:AddZoneRecord | 添加解析记录。 |
pvtz:DeleteZoneRecord | 删除解析记录。 |
pvtz:DescribeZoneRecords | 查询解析记录列表。 |
VPC相关权限
权限名称(Action) | 说明 |
vpc:DescribeVSwitches | 查询已创建的交换机。 |
AliyunCSDefaultRole
该角色为容器服务产品(ACK)的服务角色,ACS默认使用该角色对Kubernetes集群进行创建、删除、升级等操作。
关于该服务角色详情请见:容器服务ACK服务角色。