為進一步收斂ACK托管版集群的Worker RAM角色(節點RAM角色)的權限策略,阿里云容器服務ACK計劃于2023年04月03日開始灰度發布新版本的aliyun-acr-credential-helper組件。新版aliyun-acr-credential-helper組件將不再依賴ACK托管版集群的Worker RAM角色的權限策略。您需要對新增的系統角色AliyunCSManagedAcrRole進行授權,才能正常使用新版組件。

影響范圍

2023年04月03日及之后創建的,且計劃在集群內使用aliyun-acr-credential-helper組件的ACK托管版集群(ACK標準版和ACK Pro版)。

重要 2023年04月03日之前創建的集群不受影響,仍可以正常使用aliyun-acr-credential-helper組件的功能。

變更影響

若您未在2023年04月03日前完成新增的系統AliyunCSManagedAcrRole角色授權,2023年04月03日及之后創建的ACK托管版集群內將無法安裝或升級aliyun-acr-credential-helper組件。

屆時,控制臺會提示您組件操作的前置檢查失敗。您可以單擊查看檢查報告,按照頁面提示完成AliyunCSManagedAcrRole角色授權操作。

aliyun-acr-credential-helper組件安裝前置檢查失敗本次變更對2023年04月03日之前創建的集群不產生影響,集群內可以正常使用aliyun-acr-credential-helper組件功能。但對于2023年04月03日及之后創建的集群,集群內使用aliyun-acr-credential-helper組件實現的各類鏡像拉取方式可能會由于實現方式的不同而受到不同的影響。具體影響和使用建議如下。
鏡像拉取場景實現方式細分Worker RAM角色權限策略狀態影響和使用建議
同賬號拉取未修改。不受影響,可以使用默認方式安裝和使用新版組件。
已修改,用于定制ACR權限策略。新版組件默認不支持定制ACR權限策略。如果您仍需定制ACR權限策略,可以參考以下建議。
  • 建議一:安裝組件時指定組件繼續依賴Worker RAM角色,用于滿足定制ACR權限策略的需求。
  • 建議二:改為使用RRSA模式拉取鏡像。
跨賬號拉取使用Worker RAM角色扮演已修改。該方式下必須修改Worker RAM角色。如果您仍需要實現跨賬號鏡像拉取,可以參考以下建議。
  • 建議一:安裝組件時指定組件繼續依賴Worker RAM角色,用于滿足繼續使用Worker RAM角色扮演進行跨賬號鏡像拉取的需求。
  • 建議二:改為使用RRSA模式進行拉取鏡像。
使用RRSA模式未修改。此方式不涉及Worker RAM角色的修改。不受影響,可以繼續使用該方式。
使用子賬號的AK及SK未修改。此方式不涉及Worker RAM角色的修改。不受影響,可以繼續使用該方式。
跨地域拉取未修改。不受影響,可以使用默認方式安裝和使用新版組件。
已修改,用于定制ACR權限策略。新版組件默認不支持定制ACR權限策略。如果您仍需定制ACR權限策略,可以參考以下建議。
  • 建議一:安裝組件時指定組件繼續依賴Worker RAM角色,用于滿足定制ACR權限策略的需求。
  • 建議二:改為使用RRSA模式拉取鏡像。

AliyunCSManagedAcrRole角色授權

2023年04月03日后,您仍然可以進行新增系統角色AliyunCSManagedAcrRole的授權操作。但為避免新版aliyun-acr-credential-helper組件發布后,出現因未授權導致在2023年04月03日及之后創建的新集群內無法正常安裝和升級該組件的情況,請在2023年04月03日前完成AliyunCSManagedAcrRole的授權。本小節介紹如何完成AliyunCSManagedAcrRole授權。
重要 每個阿里云賬號只需授權一次,無需為每個集群重復授權。

操作步驟

  1. 使用阿里云賬號或被授予AdministratorAccess權限的RAM用戶登錄云資源訪問授權控制臺
  2. 云資源訪問授權頁面,單擊同意授權,即可完成AliyunCSManagedAcrRole的授權操作。

權限策略

aliyun-acr-credential-helper組件默認依賴的RAM權限策略如下。
 {
    "Action": [
        "cr:GetAuthorizationToken",
        "cr:ListInstanceEndpoint",
        "cr:PullRepository"
    ],
    "Resource": [
        "*"
    ],
    "Effect": "Allow"
}

相關文檔