當前托管版集群的Worker RAM角色(即節點RAM角色)默認被授予少量的權限策略。為了進一步加強托管版集群節點的安全性,阿里云容器服務ACK計劃于2023年07月17日開始灰度收斂托管版集群的Worker RAM角色被授予的權限策略。
影響范圍
2023年07月17日及之后創建的ACK托管集群(ACK集群基礎版和ACK集群Pro版),且集群為1.22.15-aliyun.1及以上版本。
以下集群不在本次變更的影響范圍內:
2023年07月17日之前創建的集群。
版本小于1.22.15-aliyun.1的集群。
未被灰度策略覆蓋的阿里云賬號創建的集群。
變更影響
變更前,Worker RAM角色默認被授予少量的權限策略。
變更后,新創建的ACK托管版集群的Worker RAM角色默認將不再被授予任何權限策略。
如果您的應用需要在集群內訪問阿里云OpenAPI,推薦您基于ACK提供的RRSA特性獲取OpenAPI訪問憑證。更多信息,請參見通過RRSA配置ServiceAccount的RAM權限實現Pod權限隔離。
如果您的應用需要依賴Worker RAM角色,您可以手動為Worker RAM角色授予應用所需的權限策略。具體操作,請參見下文為Worker RAM角色授予權限策略。
如果您需要在新創建的集群內安裝aliyun-acr-credential-helper組件,請確保安裝最新版本的組件。
為Worker RAM角色授予權限策略
步驟一:創建自定義權限策略
關于創建自定義權限策略的具體操作,請參見創建自定義權限策略。
步驟二:為集群的Worker RAM角色授權
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱。
在集群信息頁面的基本信息頁簽下,單擊Worker RAM 角色右側的鏈接,跳轉至RAM控制臺。
在權限管理頁簽,單擊新增授權,然后在新增授權面板的權限策略區域,篩選上一步已創建的自定義權限策略。
單擊確認新增授權。
單擊關閉。