在常見的多租場景下,阿里云容器計算服務ACS會為不同用戶角色簽發帶有其身份信息的kubeconfig憑證用于連接集群。當企業內部員工離職或是某簽發kubeconfig疑似泄露等情況發生時,吊銷該集群的kubeconfig可有效保障集群的安全。本文介紹阿里云賬號(主賬號)或RAM用戶如何吊銷已經分發的用戶kubeconfig憑證。
使用須知
吊銷kubeconfig憑證包含以下兩種場景:
阿里云賬號(主賬號)吊銷其管理范圍內(其所有RAM用戶)的kubeconfig憑證。
RAM用戶吊銷自身的kubeconfig憑證。
吊銷集群的kubeconfig憑證后,系統會自動分配新的kubeconfig憑證。
阿里云賬號(主賬號)吊銷其RAM用戶的kubeconfig憑證
僅支持阿里云賬號(主賬號)吊銷其他RAM用戶或RAM角色的kubeconfig憑證。
您可以使用阿里云賬號(主賬號)登錄控制臺,進行如下操作。
登錄容器計算服務控制臺,在左側導航欄選擇授權管理。
在子賬號頁簽的用戶列表,單擊目標RAM用戶對應的管理KubeConfig,獲取該RAM用戶創建的集群列表,然后按照對話框提示完成目標集群的吊銷操作。
RAM用戶吊銷自身的kubeconfig憑證
您可以使用RAM用戶登錄控制臺,進行如下操作。
吊銷kubeconfig后,對應RAM用戶無法再使用此kubeconfig連接集群。請謹慎操作。
登錄容器計算服務控制臺,在左側導航欄選擇集群。
在集群頁面,單擊目標集群ID,然后在左側導航欄,選擇集群信息。
單擊連接信息頁簽,然后單擊紅色按鈕吊銷 KubeConfig,單擊確定。
吊銷離職員工或非受信用戶的kubeconfig憑證
對于離職員工或非受信用戶,請您務必先使用阿里云賬號(主賬號)吊銷離職用戶的kubeconfig權限,然后再刪除對應的RAM用戶或RAM角色。因為僅刪除RAM用戶或RAM角色并不會同步刪除該用戶或角色擁有的集群kubeconfig中的RBAC權限。
請您務必確保指定集群的kubeconfig沒有業務依賴時,再吊銷離職員工或非受信用戶的kubeconfig權限,然后再刪除RAM用戶賬號。具體操作,請參見阿里云賬號(主賬號)吊銷其RAM用戶的kubeconfig憑證。