Kubernetes 集群  授权管理  角色授权

在用户开通容器服务时，需要授予名称为 AliyunCSDefaultRole 和 AliyunCSClusterRole 的系统默认角色给服务账号，当且仅当该角色被正确授予后，容器服务才能正常地调用相关服务（ECS，OSS、NAS、SLB 等），创建集群以及保存日志等。

使用说明

• 如果您是在2018年1月15日之前使用过容器服务的用户，系统将默认完成角色授权，详细的授权权限内容下面的默认角色包含的权限内容。如果您之前是通过子账号使用，您需要对子账号进行策略升级，参见子账号策略升级。
• 2018年1月15日全面接入跨服务授权后，新用户使用主账号只有进行了跨服务授权才能使用容器服务产品。如果新用户需要授权子账号使用容器服务，需要自行前往RAM控制台进行授权，详细操作参见使用子账号。

角色授权步骤

1. 当您进入容器服务控制台，如果之前没有正确地给服务账号授予默认角色，则会看到如下提示。单击 同意授权。

Note
容器服务已经设置好默认的角色权限，如需修改角色权限，请前往 RAM 控制台角色管理中设置，需要注意的是，错误的配置可能导致容器服务无法获取到必要的权限。
[font=PingFangSC, "]

[font=PingFangSC, "]2. 完成以上授权后，刷新容器服务控制台，然后就可以进行操作了。
[font=PingFangSC, "]如果您想查看 AliyunCSDefaultRole 和 AliyunCSClusterRole 角色的详细策略信息，可以登录 [font=PingFangSC, "] RAM 的控制台 [font=PingFangSC, "] [font=PingFangSC, "]进行查看。


默认角色包含的权限内容


关于各个角色权限的详细信息，请参考各个产品的 API 文档。

AliyunCSDefaultRole 角色的权限内容


默认角色 AliyunCSDefaultRole 包含的主要权限信息如下：

• ECS 相关权限

[tr=rgb(51, 205, 229)][td]权限名称（Action） 权限说明ecs:RunInstances查询实例信息ecs:RenewInstanceECS 实例续费ecs:Create*创建 ECS 相关资源，如实例、磁盘等ecs:AllocatePublicIpAddress分配公网 IP 地址ecs:AllocateEipAddress分配 EIP 地址ecs:Delete*删除机器实例ecs:StartInstance启动 ECS 相关资源ecs:StopInstance停止机器实例ecs:RebootInstance重启机器实例ecs:Describe*查询 ECS 相关资源ecs:AuthorizeSecurityGroup设置安全组入规则ecs:RevokeSecurityGroup撤销安全组规则ecs:AuthorizeSecurityGroupEgress设置安全组出规则ecs:AttachDisk添加磁盘ecs:DetachDisk清理磁盘ecs:AddTags添加标签ecs:ReplaceSystemDisk更换 ECS 实例的系统盘ecs:ModifyInstanceAttribute修改实例属性ecs:JoinSecurityGroup将实例加入到指定的安全组ecs:LeaveSecurityGroup将实例移出指定的安全组ecs:UnassociateEipAddress解绑弹性公网 IPecs:ReleaseEipAddress释放弹性公网 IP

• VPC 相关权限

[tr=rgb(51, 205, 229)][td]权限名称（Action） 权限说明vpc:Describe*查询 VPC 相关资源的信息vpc:DescribeVpcs查询 VPC 信息vpc:AllocateEipAddress分配 EIP 地址vpc:AssociateEipAddress关联 EIP 地址vpc:UnassociateEipAddress不关联 EIP 地址vpc:ReleaseEipAddress释放弹性公网 IPvpc:CreateRouteEntry创建路由接口vpc:DeleteRouteEntry删除路由接口

• SLB 相关权限

[tr=rgb(51, 205, 229)][td]权限名称（Action） 权限说明slb:Describe*查询负载均衡相关信息slb:CreateLoadBalancer创建负载均衡实例slb:DeleteLoadBalancer删除负载均衡实例slb:RemoveBackendServers解绑负载均衡实例slb:StartLoadBalancerListener启动指定的监听服务slb:StopLoadBalancerListener停止指定的监听服务slb:CreateLoadBalancerTCPListener为负载均衡实例创建基于 TCP 协议的监听规则slb:AddBackendServers添加后端服务器

AliyunCSClusterRole 角色的权限内容


默认角色 AliyunCSClusterRole 包含的主要权限信息如下：

• OSS 相关权限

[tr=rgb(51, 205, 229)][td]权限名称（Action） 权限说明oss:PutObject上传文件或文件夹对象oss:GetObject获取文件或文件夹对象oss:ListObjects查询文件列表信息

• NAS 相关权限

[tr=rgb(51, 205, 229)][td]权限名称（Action） 权限说明nas:Describe*返回 NAS 相关信息nas:CreateAccessRule创建权限规则

• SLB 相关权限

[tr=rgb(51, 205, 229)][td]权限名称（Action） 权限说明slb:Describe*查询负载均衡相关信息slb:CreateLoadBalancer创建负载均衡实例slb:DeleteLoadBalancer删除负载均衡实例slb:RemoveBackendServers解绑负载均衡实例slb:StartLoadBalancerListener启动指定的监听服务slb:StopLoadBalancerListener停止指定的监听服务slb:CreateLoadBalancerTCPListener为负载均衡实例创建基于 TCP 协议的监听规则slb:AddBackendServers添加后端服务器slb:DeleteLoadBalancerListener删除负载均衡实例监听规则[tr=rgb(239, 251, 255)][td]slb:CreateVServerGroup 创建虚拟服务器组，并添加后端服务器 slb:ModifyVServerGroupBackendServers改变虚拟服务器组中的后端服务器 slb:CreateLoadBalancerHTTPListener为负载均衡实例创建基于 HTTP 协议的 Listener slb:SetBackendServers配置后端服务器，为负载均衡实例后端的一组服务器（ECS 实例）配置权重值 slb:AddTags为 SLB 实例添加标签