在用户开通容器服务时,需要授予名称为 AliyunCSDefaultRole 和 AliyunCSClusterRole 的系统默认角色给服务账号,当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB 等),创建集群以及保存日志等。
使用说明
- 如果您是在2018年1月15日之前使用过容器服务的用户,系统将默认完成角色授权,详细的授权权限内容下面的默认角色包含的权限内容。如果您之前是通过子账号使用,您需要对子账号进行策略升级,参见子账号策略升级。
- 2018年1月15日全面接入跨服务授权后,新用户使用主账号只有进行了跨服务授权才能使用容器服务产品。如果新用户需要授权子账号使用容器服务,需要自行前往RAM控制台进行授权,详细操作参见使用子账号。
角色授权步骤
- 当您进入容器服务控制台,如果之前没有正确地给服务账号授予默认角色,则会看到如下提示。单击 同意授权。
Note
容器服务已经设置好默认的角色权限,如需修改角色权限,请前往 RAM 控制台角色管理中设置,需要注意的是,错误的配置可能导致容器服务无法获取到必要的权限。
[font=PingFangSC, "]
[font=PingFangSC, "]2. 完成以上授权后,刷新容器服务控制台,然后就可以进行操作了。
[font=PingFangSC, "]如果您想查看 AliyunCSDefaultRole 和 AliyunCSClusterRole 角色的详细策略信息,可以登录
[font=PingFangSC, "]
RAM 的控制台
[font=PingFangSC, "]
[font=PingFangSC, "]进行查看。
默认角色包含的权限内容
关于各个角色权限的详细信息,请参考各个产品的 API 文档。
AliyunCSDefaultRole 角色的权限内容
默认角色 AliyunCSDefaultRole 包含的主要权限信息如下:
[tr=rgb(51, 205, 229)][td]权限名称(Action)
| 权限说明 |
| ecs:RunInstances | 查询实例信息 |
| ecs:RenewInstance | ECS 实例续费 |
| ecs:Create* | 创建 ECS 相关资源,如实例、磁盘等 |
| ecs:AllocatePublicIpAddress | 分配公网 IP 地址 |
| ecs:AllocateEipAddress | 分配 EIP 地址 |
| ecs:Delete* | 删除机器实例 |
| ecs:StartInstance | 启动 ECS 相关资源 |
| ecs:StopInstance | 停止机器实例 |
| ecs:RebootInstance | 重启机器实例 |
| ecs:Describe* | 查询 ECS 相关资源 |
| ecs:AuthorizeSecurityGroup | 设置安全组入规则 |
| ecs:RevokeSecurityGroup | 撤销安全组规则 |
| ecs:AuthorizeSecurityGroupEgress | 设置安全组出规则 |
| ecs:AttachDisk | 添加磁盘 |
| ecs:DetachDisk | 清理磁盘 |
| ecs:AddTags | 添加标签 |
| ecs:ReplaceSystemDisk | 更换 ECS 实例的系统盘 |
| ecs:ModifyInstanceAttribute | 修改实例属性 |
| ecs:JoinSecurityGroup | 将实例加入到指定的安全组 |
| ecs:LeaveSecurityGroup | 将实例移出指定的安全组 |
| ecs:UnassociateEipAddress | 解绑弹性公网 IP |
| ecs:ReleaseEipAddress | 释放弹性公网 IP |
[tr=rgb(51, 205, 229)][td]权限名称(Action)
| 权限说明 |
| vpc:Describe* | 查询 VPC 相关资源的信息 |
| vpc:DescribeVpcs | 查询 VPC 信息 |
| vpc:AllocateEipAddress | 分配 EIP 地址 |
| vpc:AssociateEipAddress | 关联 EIP 地址 |
| vpc:UnassociateEipAddress | 不关联 EIP 地址 |
| vpc:ReleaseEipAddress | 释放弹性公网 IP |
| vpc:CreateRouteEntry | 创建路由接口 |
| vpc:DeleteRouteEntry | 删除路由接口 |
[tr=rgb(51, 205, 229)][td]权限名称(Action)
| 权限说明 |
| slb:Describe* | 查询负载均衡相关信息 |
| slb:CreateLoadBalancer | 创建负载均衡实例 |
| slb:DeleteLoadBalancer | 删除负载均衡实例 |
| slb:RemoveBackendServers | 解绑负载均衡实例 |
| slb:StartLoadBalancerListener | 启动指定的监听服务 |
| slb:StopLoadBalancerListener | 停止指定的监听服务 |
| slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于 TCP 协议的监听规则 |
| slb:AddBackendServers | 添加后端服务器 |
AliyunCSClusterRole 角色的权限内容
默认角色 AliyunCSClusterRole 包含的主要权限信息如下:
[tr=rgb(51, 205, 229)][td]权限名称(Action)
| 权限说明 |
| oss:PutObject | 上传文件或文件夹对象 |
| oss:GetObject | 获取文件或文件夹对象 |
| oss:ListObjects | 查询文件列表信息 |
[tr=rgb(51, 205, 229)][td]权限名称(Action)
| 权限说明 |
| nas:Describe* | 返回 NAS 相关信息 |
| nas:CreateAccessRule | 创建权限规则 |
[tr=rgb(51, 205, 229)][td]权限名称(Action)
| 权限说明 |
| slb:Describe* | 查询负载均衡相关信息 |
| slb:CreateLoadBalancer | 创建负载均衡实例 |
| slb:DeleteLoadBalancer | 删除负载均衡实例 |
| slb:RemoveBackendServers | 解绑负载均衡实例 |
| slb:StartLoadBalancerListener | 启动指定的监听服务 |
| slb:StopLoadBalancerListener | 停止指定的监听服务 |
| slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于 TCP 协议的监听规则 |
| slb:AddBackendServers | 添加后端服务器 |
| slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则 |
[tr=rgb(239, 251, 255)][td]slb:CreateVServerGroup
| 创建虚拟服务器组,并添加后端服务器 |
| slb:ModifyVServerGroupBackendServers | 改变虚拟服务器组中的后端服务器 |
| slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于 HTTP 协议的 Listener |
| slb:SetBackendServers | 配置后端服务器,为负载均衡实例后端的一组服务器(ECS 实例)配置权重值 |
| slb:AddTags | 为 SLB 实例添加标签 |
