当您使用资源组对资源进行分组管理时,可以结合访问控制(RAM),在单个阿里云账号内实现资源的隔离和精细化权限管理。本文总结了分布式云容器平台ACK One对资源组的支持情况,以及资源组级别的授权操作步骤。
-
只有支持资源组的资源类型和支持资源组级别授权的操作,资源组级别授权才能生效。
-
对于不支持资源组的资源类型,授予资源组范围的权限将无效。在选择资源范围时,请选择账号级别,进行账号级别授权。具体操作,请参见不支持资源组级别授权的操作。
资源组授权的工作原理
您可以使用资源组(Resource Group)对阿里云账号内的资源进行分组管理。例如,为不同的项目创建对应的资源组,并将资源转移到对应的组中,以便集中管理各项目的资源。更多信息,请参见什么是资源组。
在完成资源分组后,您可以为不同的RAM授权主体(RAM用户、RAM用户组或RAM角色)授予指定资源组范围的权限,从而限定这个授权主体只能管理该资源组内的资源。更多信息,请参见资源分组和授权。
这种授权方式的优点有:
-
权限精细化:确保每个身份能获得最准确的资源访问权限,避免账号下的多个项目的资源混合管理。
-
良好的扩展性:后续新增资源时,只需将其加入该资源组,RAM身份便会自动获得新资源的相应权限,无需再次授权。
为RAM用户授予资源组级别的权限
下面以RAM用户为例,介绍授予指定资源组内分布式云容器平台ACK One资源权限的操作步骤。
1. 前置步骤
2. 进行资源组级别授权
您可以通过以下任一方式进行资源组级别授权。
方式一:在资源管理控制台中授权
通过资源组的权限管理功能为指定 RAM 用户授权。详情操作可参见为RAM身份授予资源组范围的权限。
方式二:在 RAM 控制台中授权
通过RAM控制台为指定 RAM 用户进行资源组级别授权。详细操作可参见为RAM用户授权。
支持资源组的资源类型
分布式云容器平台ACK One支持资源组的资源类型如下表所示:
|
云服务 |
云服务代码 |
资源类型 |
|
分布式云容器平台ACK One |
ackone |
cluster : 集群 |
对于暂不支持资源组的资源类型,如有需要,您可以在资源组控制台提交反馈。
不支持资源组级别授权的操作
分布式云容器平台ACK One中不支持资源组级别授权的操作(Action)如下:
|
操作(Action) |
操作描述 |
|
adcp:AbortComponentBaselineDeployBatch |
- |
|
adcp:AbortComponentBaselineDeployJob |
- |
|
adcp:AttachClusterToHub |
添加ACK集群到ACKOne舰队Fleet实例。 |
|
adcp:ChangeResourceGroup |
更新资源组 |
|
adcp:CheckSLRExists |
- |
|
adcp:CheckServiceRole |
- |
|
adcp:ComponentBaselinePreCheck |
- |
|
adcp:CreateComponentBaseline |
- |
|
adcp:CreateComponentBaselineDeployJob |
- |
|
adcp:DeleteComponentBaseline |
- |
|
adcp:DeleteComponentBaselineDeployJob |
- |
|
adcp:DeletePolicyInstance |
删除关联集群中的策略规则实例。 |
|
adcp:DeleteUserPermission |
删除RAM用户RBAC授权。 |
|
adcp:DeployPolicyInstance |
在主控实例关联集群中部署策略规则实例。 |
|
adcp:DescribeClusterEvents |
- |
|
adcp:DescribeComponentBaselineDeployJobDetail |
- |
|
adcp:DescribeComponentBaselineDeployJobs |
- |
|
adcp:DescribeComponentBaselineDetail |
- |
|
adcp:DescribeComponentBaselines |
- |
|
adcp:DescribeComponentListOfHubCluster |
- |
|
adcp:DescribeHubClusterKubeconfig |
获取ACK One集群的KubeConfig。除了通过容器服务控制台来管理集群之外,您还可以通过Kubernetes命令行工具kubectl来管理集群以及应用。使用kubectl工具管理集群时,您需要先获取集群的KubeConfig信息并通过kubectl工具连接集群。 |
|
adcp:DescribeHubClusterLogs |
获取ACK One多集群舰队主控集群的日志。 |
|
adcp:DescribeManagedClusters |
获取ACK One舰队Fleet实例下的子集群列表。 |
|
adcp:DescribePolicies |
列举策略治理规则库列表。 |
|
adcp:DescribePolicyDetails |
获取策略治理规则模板详情。 |
|
adcp:DescribePolicyGovernanceInCluster |
获取主控实例下关联集群策略治理详情。 |
|
adcp:DescribePolicyInstances |
查询主控实例关联集群的策略实例。 |
|
adcp:DescribePolicyInstancesStatus |
获取主控实例关联集群指定策略规则实例详情。 |
|
adcp:DescribeUserPermissions |
查看子账号授权内容。 |
|
adcp:DetachClusterFromHub |
从ACK One舰队Fleet实例中移除ACK子集群。 |
|
adcp:GrantUserPermission |
为RAM用户或RAM角色授予RBAC权限。RAM系统策略仅控制ACK One集群资源的操作权限(例如创建实例、查看实例列表等),若RAM用户或RAM角色需要操作指定集群内的K8s资源,例如,创建GitOps Application和Argo Workflow等,还需要获取指定ACK One集群及其命名空间的操作权限即RBAC权限。本文为您介绍如何为RAM用户或RAM角色授予RBAC权限。 |
|
adcp:GrantUserPermissions |
- |
|
adcp:ListTagResources |
- |
|
adcp:ResumeComponentBaselineDeployJob |
- |
|
adcp:RollbackComponentBaselineDeployBatch |
- |
|
adcp:StartComponentBaselineDeployBatch |
- |
|
adcp:StartComponentBaselineDeployJob |
- |
|
adcp:SuspendComponentBaselineDeployJob |
- |
|
adcp:TagResources |
- |
|
adcp:UntagResources |
- |
|
adcp:UpdateClusterTags |
- |
|
adcp:UpdateComponentBaseline |
- |
|
adcp:UpdateUserPermission |
更新RAM用户RBAC授权。 |
对于不支持资源组授权的操作,授权时资源范围选择资源组级别将无效。如果仍需要RAM用户有上述操作权限,您需要创建自定义权限策略,授权时资源范围选择账号级别。
以下是两个自定义权限策略示例,您可以根据实际需要调整策略内容。
-
允许不支持资源组级别授权的全部只读操作:
Action中列举不支持资源组级别授权的所有只读操作。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "adcp:CheckSLRExists", "adcp:CheckServiceRole", "adcp:DeleteComponentBaseline", "adcp:DeleteComponentBaselineDeployJob", "adcp:DescribeClusterEvents", "adcp:DescribeComponentBaselineDeployJobDetail", "adcp:DescribeComponentBaselineDeployJobs", "adcp:DescribeComponentBaselineDetail", "adcp:DescribeComponentBaselines", "adcp:DescribeComponentListOfHubCluster", "adcp:DescribeHubClusterKubeconfig", "adcp:DescribeHubClusterLogs", "adcp:DescribeManagedClusters", "adcp:DescribePolicies", "adcp:DescribePolicyDetails", "adcp:DescribePolicyGovernanceInCluster", "adcp:DescribePolicyInstances", "adcp:DescribePolicyInstancesStatus", "adcp:DescribeUserPermissions", "adcp:ListTagResources" ], "Resource": "*" } ] } -
允许不支持资源组级别授权的全部操作:
Action中列举不支持资源组级别授权的全部操作。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "adcp:AbortComponentBaselineDeployBatch", "adcp:AbortComponentBaselineDeployJob", "adcp:AttachClusterToHub", "adcp:ChangeResourceGroup", "adcp:CheckSLRExists", "adcp:CheckServiceRole", "adcp:ComponentBaselinePreCheck", "adcp:CreateComponentBaseline", "adcp:CreateComponentBaselineDeployJob", "adcp:DeleteComponentBaseline", "adcp:DeleteComponentBaselineDeployJob", "adcp:DeletePolicyInstance", "adcp:DeleteUserPermission", "adcp:DeployPolicyInstance", "adcp:DescribeClusterEvents", "adcp:DescribeComponentBaselineDeployJobDetail", "adcp:DescribeComponentBaselineDeployJobs", "adcp:DescribeComponentBaselineDetail", "adcp:DescribeComponentBaselines", "adcp:DescribeComponentListOfHubCluster", "adcp:DescribeHubClusterKubeconfig", "adcp:DescribeHubClusterLogs", "adcp:DescribeManagedClusters", "adcp:DescribePolicies", "adcp:DescribePolicyDetails", "adcp:DescribePolicyGovernanceInCluster", "adcp:DescribePolicyInstances", "adcp:DescribePolicyInstancesStatus", "adcp:DescribeUserPermissions", "adcp:DetachClusterFromHub", "adcp:GrantUserPermission", "adcp:GrantUserPermissions", "adcp:ListTagResources", "adcp:ResumeComponentBaselineDeployJob", "adcp:RollbackComponentBaselineDeployBatch", "adcp:StartComponentBaselineDeployBatch", "adcp:StartComponentBaselineDeployJob", "adcp:SuspendComponentBaselineDeployJob", "adcp:TagResources", "adcp:UntagResources", "adcp:UpdateClusterTags", "adcp:UpdateComponentBaseline", "adcp:UpdateUserPermission" ], "Resource": "*" } ] }
获得账号级别权限的RAM用户或RAM角色,能够操作整个账号范围内的相关资源。请务必确认所授予的权限是否符合预期,遵从最小授权原则谨慎分配权限。
常见问题
如何查看当前资源属于哪个资源组?
-
方式一:单击资源名称,进入资源的详情页面,即可查看到当前资源的资源组。
-
方式二:登录资源管理控制台,单击,在左侧选择目标资源所属账号(默认为当前账号),通过筛选条件定位目标资源,即可查看其所属资源组。
如何查看当前产品在某个资源组下的所有资源?
如何批量修改多个资源的资源组?
登录资源管理控制台,单击,在目标资源组所在行的操作列下,单击资源管理以进入资源管理页面。通过筛选条件定位多个目标资源,批量勾选第一列的复选框后单击下方转移资源组,并按页面提示完成资源组修改。