根據權限類型,分布式云容器平臺 ACK One的權限包括服務角色、RAM權限策略和RBAC權限。您需要為服務賬號授予對應的權限,才能正常使用分布式云容器平臺 ACK One的功能。本文將為您介紹服務角色、RAM權限策略和RBAC權限關系,以及如何為服務賬號授予相應權限。
權限類型
權限類型 | 是否必須授權 | 權限說明 |
首次使用ACK One服務時需要授權,使用阿里云賬號(主賬號)或者RAM管理員賬號(子賬號)授權一次即可。 | 授權后,ACK One服務才能訪問其他關聯云服務資源。 | |
RAM用戶或RAM角色必須授權,阿里云賬號默認擁有權限,無需額外授權。 | 授權后,RAM用戶或RAM角色才能使用ACK One的功能。 | |
RAM用戶或RAM角色必須授權,阿里云賬號默認擁有權限,無需額外授權。 | 授權后,RAM用戶或RAM角色才能對ACK One集群內的K8s資源進行操作。 |
服務角色
服務角色是云服務在特定情況下,為完成功能而獲取其他云服務訪問權限的RAM角色。
例如,ACK One上創建工作流集群后,需要創建彈性容器ECI實例運行工作流,因此需要擁有創建ECI實例的相應權限。
ACK One提供以下服務角色,具體的策略內容請參見ACK One服務角色策略內容。
角色名稱 | 角色權限說明 |
AliyunCSDefaultRole |
|
AliyunServiceRoleForAdcp |
|
AliyunAdcpServerlessKubernetesRole |
|
AliyunAdcpManagedMseRole |
|
服務角色無需手動創建,首次使用ACK One控制臺,界面會自動彈出授權提示,您只需按提示操作即可完成授權。
僅阿里云賬號(主賬號)或RAM管理員賬號可以完成自動授權,普通RAM用戶沒有授權操作的權限。如果系統提示權限不足,請將賬號切換到阿里云(主賬號)或RAM管理員賬號完成授權。
RAM系統權限策略
默認情況下,RAM用戶在使用云服務的OpenAPI時沒有任何權限。如果您通過RAM用戶或RAM角色訪問ACK One,需要為其授予相應的操作權限,以確保正常使用ACK One的功能。ACK One提供了一些默認的系統權限策略,用于控制全局資源的讀寫訪問,您可以根據業務需求為RAM用戶或RAM角色添加相應的系統策略。
具體授權操作,請參見為RAM用戶或RAM角色授予系統權限策略。
RAM系統權限策略 | 權限說明 | 集群是否涉及 | ||
注冊集群 | 多集群艦隊 | 工作流集群 | ||
AliyunAdcpFullAccess | 當RAM用戶或RAM角色需要ACK One所有資源的讀寫權限。 | 是 | 是 | 是 |
AliyunAdcpReadOnlyAccess | 當RAM用戶或RAM角色需要ACK One所有資源的只讀權限。 | 是 | 是 | 是 |
AliyunCSFullAccess | 當RAM用戶或RAM角色需要容器服務產品所有資源的讀寫權限。 | 是 | 是 | 不涉及 |
AliyunCSReadOnlyAccess | 當RAM用戶或RAM角色需要容器服務產品所有資源的只讀權限。 | 是 | 是 | 不涉及 |
AliyunVPCReadOnlyAccess | 當RAM用戶或RAM角色在創建集群時選擇指定VPC。 | 是 | 是 | 是 |
AliyunECIReadOnlyAccess | 當RAM用戶或RAM角色需要將集群Pod調度到ECI上。 | 是 | 是 | 是 |
AliyunLogReadOnlyAccess | 當RAM用戶或RAM角色在創建集群時選擇已有Log Project存儲審計日志,或查看指定集群的配置巡檢。 | 是 | 是 | 是 |
AliyunARMSReadOnlyAccess | 當RAM用戶或RAM角色需要查看集群阿里云Prometheus插件的監控狀態。 | 是 | 是 | 是 |
AliyunRAMReadOnlyAccess | 當RAM用戶或RAM角色需要查看已有的權限策略。 | 是 | 是 | 是 |
AliyunECSReadOnlyAccess | 當RAM用戶或RAM角色為集群添加已有云上節點或查看節點詳細信息。 | 是 | 不涉及 | 不涉及 |
AliyunContainerRegistryReadOnlyAccess | 當RAM用戶或RAM角色需要查看阿里云賬號內的業務鏡像。 | 是 | 不涉及 | 不涉及 |
AliyunAHASReadOnlyAccess | 當RAM用戶或RAM角色需要使用集群拓撲功能。 | 是 | 不涉及 | 不涉及 |
AliyunYundunSASReadOnlyAccess | 當RAM用戶或RAM角色需要查看指定集群的運行時安全監控。 | 是 | 不涉及 | 不涉及 |
AliyunKMSReadOnlyAccess | 當RAM用戶或RAM角色在創建集群時啟用Secret落盤加密功能。 | 是 | 不涉及 | 不涉及 |
AliyunESSReadOnlyAccess | 當RAM用戶或RAM角色需要執行云上節點池的相關操作,例如查看、編輯和擴縮容等。 | 是 | 不涉及 | 不涉及 |
RBAC權限
RAM系統策略僅控制ACK One集群資源的操作權限,若RAM用戶或RAM角色需要操作指定集群內的K8s資源,(如創建并獲取GitOps Application和Argo Workflow),還需要獲取指定ACK One集群及其命名空間的操作權限即RBAC權限。
ACK One提供以下預置角色:
多集群艦隊和工作流集群RBAC權限
RBAC權限
權限說明
集群是否涉及
多集群艦隊
工作流集群
admin(管理員)
具有集群范圍和所有命名空間下資源的讀寫權限。
是
是
dev(開發人員)
具有所選命名空間下的資源讀寫權限。
是
是
gitops-dev(gitops開發人員)
具有argocd命名空間下應用資源的讀寫權限。
是
不涉及
RBAC權限所控制的具體資源列表以及授權操作,請參見為RAM用戶或RAM角色授予RBAC權限。