Kubernetes 集群  授权管理创建自定义授权策略

容器服务提供的系统授权策略的授权粒度比较粗，如果这种粗粒度授权策略不能满足您的需要，那么您可以创建自定义授权策略。比如，您想控制对某个具体的集群的操作权限，您必须使用自定义授权策略才能满足这种细粒度要求。

创建自定义授权策略

在创建自定义授权策略时，您需要了解授权策略语言的基本结构和语法，相关内容的详细描述请参考授权策略语言描述。
本文档以授予子账号查询、扩容和删除集群的权限为例进行说明。
操作步骤

使用主账号登录RAM管理控制台。
单击左侧导航栏中的策略管理并单击页面右上角的新建授权策略。
选择一个模板，填写授权策略名称并编写您的授权策略内容。

{
 "Statement": [{
     "Action": [
         "cs:Get*",
         "cs:ScaleCluster",
         "cs:DeleteCluster"
     ],
     "Effect": "Allow",
     "Resource": [
         "acs:cs:*:*:cluster/集群ID"
     ]
 }],
 "Version": "1"
}

其中：
- Action 处填写您所要授予的权限。[tr=transparent][url=http://g.alicdn.com/aliyun-icms/assets/icms-main/images/note.png][/url]Note[tr=transparent]所有的 Action 均支持通配符。
- Resource 有如下配置方式。授予单集群权限"Resource": ["acs:cs:*:*:cluster/集群ID"]
- 授予多个集群权限"Resource": ["acs:cs:*:*:cluster/集群ID","acs:cs:*:*:cluster/集群ID"]
- 授予您所有集群的权限"Resource": ["*"]其中，集群ID 需要替换为您要授权的真实的集群 ID。

编写完毕后，单击新建授权策略。

Table 1. 容器服务RAM Action[tr=rgb(51, 205, 229)][td]Action 说明CreateCluster创建集群AttachInstances向集群中添加已有ECS实例ScaleCluster扩容集群GetClusters查看集群列表GetClusterById查看集群详情ModifyClusterName修改集群名称DeleteCluster删除集群UpgradeClusterAgent升级集群AgentGetClusterLogs查看集群的操作日志GetClusterEndpoint查看集群接入点地址GetClusterCerts下载集群证书RevokeClusterCerts吊销集群证书BindSLB为集群绑定负载均衡实例UnBindSLB为集群解绑负载均衡实例ReBindSecurityGroup为集群重新绑定安全组CheckSecurityGroup检测集群现有的安全组规则FixSecurityGroup修复集群的安全组规则ResetClusterNode重置集群中的节点DeleteClusterNode移除集群中的节点CreateAutoScale创建节点弹性伸缩规则UpdateAutoScale更新节点弹性伸缩规则DeleteAutoScale删除节点弹性伸缩规则GetClusterProjects查看集群下的应用CreateTriggerHook为应用创建触发器[tr=rgb(239, 251, 255)][td]GetTriggerHook 查看应用的触发器列表 RevokeTriggerHook删除应用的触发器 CreateClusterToken创建 Token