Kubernetes集群访问如何角色授权?

在用户开通容器服务时，需要授予名称为 AliyunCSDefaultRole、AliyunCSServerlessKubernetesRole、AliyunCSClusterRole、AliyunCSManagedKubernetesRole 和 KubernetesAuditRole 的系统默认角色给服务账号，当且仅当该角色被正确授予后，容器服务才能正常地调用相关服务（ECS，OSS、NAS、SLB 等），创建集群以及保存日志等。本文介绍如何给服务账号进行授权及授权角色包含的权限。

使用说明 如果您是在2018年1月15日之前使用过容器服务的用户，系统将默认完成角色授权，详细的授权权限内容请参见AliyunCSDefaultRole 角色的权限内容。如果您之前是通过子账号使用，您需要对子账号进行策略升级，参见自定义 RAM 授权策略。 2018年1月15日全面接入跨服务授权后，新用户使用主账号只有进行了跨服务授权才能使用容器服务产品。如果新用户需要授权子账号使用容器服务，需要自行前往RAM控制台进行授权，详细操作参见使用子账号。 操作步骤 在容器服务 ACK产品页面，单击管理控制台进入容器服务管理控制台。 单击前往RAM进行授权进入云资源访问授权页面，然后单击同意授权。 授权 说明 如果您创建的是托管版集群，还需同意授权 KubernetesAuditRole 角色访问云产品中的资源。 如果您需修改容器服务已经设置好默认的角色权限，请在 RAM 控制台角色管理中设置。需注意错误的配置可能导致容器服务无法获取到必要的权限。 完成以上授权后，刷新容器服务控制台，然后您就可以进行正常操作。 如果您想查看 AliyunCSDefaultRole、AliyunCSServerlessKubernetesRole、AliyunCSClusterRole、AliyunCSManagedKubernetesRole 和 KubernetesAuditRole 角色的详细策略信息，可以登录RAM 的控制台进行查看。 AliyunCSDefaultRole 角色的权限内容 关于各个角色权限的详细信息，请参考各个产品的 API 文档。

ECS 相关权限 权限名称（Action） 权限说明 ecs:RunInstances 启动 ECS 实例。 ecs:RenewInstance ECS 实例续费。 ecs:Create* 创建 ECS 相关资源，如实例、磁盘等。 ecs:AllocatePublicIpAddress 分配公网 IP 地址。 ecs:AllocateEipAddress 分配 EIP 地址。 ecs:Delete* 删除机器实例。 ecs:StartInstance 启动 ECS 相关资源。 ecs:StopInstance 停止机器实例。 ecs:RebootInstance 重启机器实例 ecs:Describe* 查询 ECS 相关资源 ecs:AuthorizeSecurityGroup 设置安全组入规则 ecs:RevokeSecurityGroup 撤销安全组规则 ecs:AuthorizeSecurityGroupEgress 设置安全组出规则 ecs:AttachDisk 添加磁盘 ecs:DetachDisk 清理磁盘 ecs:AddTags 添加标签 ecs:ReplaceSystemDisk 更换 ECS 实例的系统盘 ecs:ModifyInstanceAttribute 修改实例属性 ecs:JoinSecurityGroup 将实例加入到指定的安全组 ecs:LeaveSecurityGroup 将实例移出指定的安全组 ecs:UnassociateEipAddress 解绑弹性公网 IP ecs:ReleaseEipAddress 释放弹性公网 IP VPC 相关权限 权限名称（Action） 权限说明 vpc:Describe* 查询 VPC 相关资源的信息 vpc:DescribeVpcs 查询 VPC 信息 vpc:AllocateEipAddress 分配 EIP 地址 vpc:AssociateEipAddress 关联 EIP 地址 vpc:UnassociateEipAddress 不关联 EIP 地址 vpc:ReleaseEipAddress 释放弹性公网 IP vpc:CreateRouteEntry 创建路由接口 vpc:DeleteRouteEntry 删除路由接口 SLB 相关权限 权限名称（Action） 权限说明 slb:Describe* 查询负载均衡相关信息。 slb:CreateLoadBalancer 创建负载均衡实例 slb:DeleteLoadBalancer 删除负载均衡实例 slb:RemoveBackendServers 解绑负载均衡实例 slb:StartLoadBalancerListener 启动指定的监听服务 slb:StopLoadBalancerListener 停止指定的监听服务。 slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于 TCP 协议的监听规则 slb:AddBackendServers 添加后端服务器 AliyunCSClusterRole 角色的权限内容 默认角色 AliyunCSClusterRole 包含的主要权限信息如下：

OSS 相关权限 权限名称（Action） 权限说明 oss:PutObject 上传文件或文件夹对象 oss:GetObject 获取文件或文件夹对象 oss:ListObjects 查询文件列表信息 NAS 相关权限 权限名称（Action） 权限说明 nas:Describe* 返回 NAS 相关信息 nas:CreateAccessRule 创建权限规则 SLB 相关权限 权限名称（Action） 权限说明 slb:Describe* 查询负载均衡相关信息。 slb:CreateLoadBalancer 创建负载均衡实例 slb:DeleteLoadBalancer 删除负载均衡实例 slb:RemoveBackendServers 解绑负载均衡实例 slb:StartLoadBalancerListener 启动指定的监听服务 slb:StopLoadBalancerListener 停止指定的监听服务。 slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于 TCP 协议的监听规则 slb:AddBackendServers 添加后端服务器 slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则 slb:CreateVServerGroup 创建虚拟服务器组，并添加后端服务器 slb:ModifyVServerGroupBackendServers 改变虚拟服务器组中的后端服务器 slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于 HTTP 协议的监听。 slb:SetBackendServers 配置后端服务器，为负载均衡实例后端的一组服务器（ECS 实例）配置权重值 slb:AddTags 为 SLB 实例添加标签 AliyunCSManagedKubernetesRole 角色的权限内容 ECS 相关权限 权限名称（Action） 权限说明 ecs:Describe* 查询 ECS 相关资源。 ecs:CreateRouteEntry 创建路由接口。 ecs:DeleteRouteEntry 删除路由接口。 ecs:CreateNetworkInterface 创建一个弹性网卡（ENI）。 ecs:DeleteNetworkInterface 删除一个弹性网卡（ENI）。 ecs:CreateNetworkInterfacePermission 创建弹性网卡（ENI）权限。 ecs:DeleteNetworkInterfacePermission 删除弹性网卡（ENI）权限。 SLB 相关权限 权限名称（Action） 权限说明 slb:Describe* 查询负载均衡相关资源。 slb:CreateLoadBalancer 创建负载均衡实例。 slb:DeleteLoadBalancer 删除负载均衡实例。 slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。 slb:RemoveBackendServers 移除后端服务器。 slb:AddBackendServers 添加后端服务器。 slb:RemoveTags 解绑指定负载均衡实例下的标签。 slb:AddTags 为指定的负载均衡实例添加标签。 slb:StopLoadBalancerListener 停止监听。 slb:StartLoadBalancerListener 启动监听。 slb:SetLoadBalancerHTTPListenerAttribute 修改 HTTP 监听的配置。 slb:SetLoadBalancerHTTPSListenerAttribute 修改 HTTPS 监听的配置。 slb:SetLoadBalancerTCPListenerAttribute 修改 TCP 监听的配置。 slb:SetLoadBalancerUDPListenerAttribute 修改 UDP 协议监听的配置。 slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于 HTTPS 协议的监听。 slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于 HTTP 协议的监听。 slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于 TCP 协议的监听规则。 slb:CreateLoadBalancerUDPListener 创建 UDP 监听。 slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。 slb:CreateVServerGroup 向指定的后端服务器组中添加后端服务器。 slb:DescribeVServerGroups 查询服务器组列表。 slb:DeleteVServerGroup 删除服务器组。 slb:SetVServerGroupAttribute 修改虚拟服务器组的配置。 slb:DescribeVServerGroupAttribute 查询服务器组的详细信息。 slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。 slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。 slb:ModifyLoadBalancerInstanceSpec 修改负载均衡的实例规格。 slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。 slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。 VPC 相关权限 权限名称（Action） 权限说明 Describe* 查询 VPC 相关资源的信息。 DeleteRouteEntry 删除自定义路由条目。 CreateRouteEntry 创建自定义路由条目。 ACR 相关权限 权限名称（Action） 权限说明 Get* 查询容器镜像服务相关资源。 List* 查看容器镜像仓库列表。 PullRepository 拉取镜像。 AliyunCSServerlessKubernetesRole 角色的权限内容 VPC 相关权限 权限名称（Action） 权限说明 DescribeVSwitches 查询已创建的交换机。 DescribeVpcs 查询已创建的 VPC。 AssociateEipAddress 将弹性公网 IP（EIP）绑定到同地域的云产品实例上。 DescribeEipAddresses 查询指定地域已创建的 EIP。 AllocateEipAddress 申请弹性公网 IP（EIP）。 ReleaseEipAddress 释放指定的弹性公网 IP（EIP）。 ECS 相关权限 权限名称（Action） 权限说明 DescribeSecurityGroups 查询您创建的安全组的基本信息。 CreateNetworkInterface 创建一个弹性网卡（ENI）。 CreateNetworkInterfacePermission 创建弹性网卡（ENI）权限。 DescribeNetworkInterfaces 查看弹性网卡（ENI）列表。 AttachNetworkInterface 附加一个弹性网卡（ENI）到一台专有网络 VPC 类型 ECS 实例上。 DetachNetworkInterface 从一台 ECS 实例上分离一个弹性网卡（ENI）。 DeleteNetworkInterface 删除一个弹性网卡（ENI）。 DeleteNetworkInterfacePermission 删除弹性网卡（ENI）权限。 SLB 相关权限 权限名称（Action） 权限说明 slb:Describe* 查询负载均衡 SLB 相关资源。 slb:CreateLoadBalancer 创建负载均衡实例。 slb:DeleteLoadBalancer 删除后付费的负载均衡实例。 slb:RemoveBackendServers 移除后端服务器。 slb:StartLoadBalancerListener 启动监听。 slb:StopLoadBalancerListener 停止监听。 slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。 slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于 TCP 协议的监听规则。 slb:AddBackendServers* 添加后端服务器。 slb:UploadServerCertificate 上传服务器证书。 slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于 HTTP 协议的监听。 slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于 HTTPS 协议的监听。 slb:CreateLoadBalancerUDPListener 创建 UDP 监听。 slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。 slb:CreateRules 为指定的 HTTP 或 HTTPS 监听添加转发规则。 slb:DeleteRules 删除转发规则。 slb:SetRule 修改目标虚拟服务器组的转发规则。 slb:CreateVServerGroup 向指定的后端服务器组中添加后端服务器。 slb:SetVServerGroupAttribute 修改虚拟服务器组的配置。 slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。 slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。 slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。 slb:DeleteVServerGroup 删除服务器组。 slb:SetLoadBalancerTCPListenerAttribute 修改 TCP 监听的配置。 slb:SetLoadBalancerHTTPListenerAttribute 修改 HTTP 监听的配置。 slb:SetLoadBalancerHTTPSListenerAttribute 修改 HTTPS 监听的配置。 slb:AddTags 为指定的负载均衡实例添加标签。 PVTZ （云解析） 相关权限 权限名称（Action） 权限说明 AddZone 创建 private zone。 DeleteZone 删除 private zone。 DescribeZones 查询用户的 zone 列表。 DescribeZoneInfo 获取指定 zone 的详细信息。 BindZoneVpc 绑定或者解绑 zone 与 VPC 列表两者之间的关系。 AddZoneRecord 添加 prviate zone 的解析记录。 DeleteZoneRecord 删除解析记录。 DeleteZoneRecordsByRR 删除解析记录列表。 DescribeZoneRecordsByRR 查询解析记录列表 DescribeZoneRecords 查询解析记录列表。 ACR 相关权限 权限名称（Action） 权限说明 Get* 查询容器镜像服务相关资源。 List* 查看容器镜像仓库列表。 PullRepository 拉取镜像。 ECI 相关权限 权限名称（Action） 权限说明 CreateContainerGroup 创建一个容器组。 DeleteContainerGroup 删除一个容器组。 DescribeContainerGroups 批量获取容器组信息。 DescribeContainerLog 获取容器组日志信息。 UpdateContainerGroup 更新实例。 UpdateContainerGroupByTemplate 通过模板更新 ECI 实例。 CreateContainerGroupFromTemplate 通过模板创建 ECI 实例。 RestartContainerGroup 重启 ECI 实例。 ExportContainerGroupTemplate 导出用户创建 ECI 的模板。 DescribeContainerGroupMetric 查询一个 ECI 的监控信息。 DescribeMultiContainerGroupMetric 同时查询多个容器组的监控信息。 ExecContainerCommand 在容器内部执行命令。 CreateImageCache 制作镜像缓存。 DescribeImageCaches 查询镜像缓存信息。 DeleteImageCache 删除镜像缓存。 KubernetesAuditRole 角色的权限内容 权限名称（Action） 权限说明 log:CreateProject 创建一个 Project。 log:GetProject 根据 Project 名称查询 Project。 log:DeleteProject 删除一个指定的 Project。 log:CreateLogStore 在 Project 下创建 Logstore。 log:GetLogStore 查看 Logstore 属性。 log:UpdateLogStore 更新 Logstore 的属性。 log:DeleteLogStore 删除 Logstore。 log:CreateConfig 创建日志采集配置。 log:UpdateConfig 更新配置内容。 log:GetConfig 获取采集配置的详细信息。 log:DeleteConfig 删除指定的日志采集配置。 log:CreateMachineGroup 根据需求创建一组机器，用以日志收集下发配置。 log:UpdateMachineGroup 更新机器组信息。 log:GetMachineGroup 查看具体的 MachineGroup 信息。 log:DeleteMachineGroup 删除机器组。 log:ApplyConfigToGroup 将配置应用到机器组。 log:GetAppliedMachineGroups 获得机器组上已经被应用的机器列表。 log:GetAppliedConfigs 获得机器组上已经被应用的配置名称。 log:RemoveConfigFromMachineGroup 从机器组中删除配置。 log:CreateIndex 为指定 Logstore 创建索引。 log:GetIndex 查询指定 Logstore 的索引。 log:UpdateIndex 更新指定 Logstore 的索引。 log:DeleteIndex 删除指定 Logstore 的索引。 log:CreateSavedSearch 创建快速查询。 log:GetSavedSearch 查看指定快速查询。 log:UpdateSavedSearch 更新快速查询。 log:DeleteSavedSearch 删除快速查询。 log:CreateDashboard 创建仪表盘。 log:GetDashboard 查看指定仪表盘。 log:UpdateDashboard 更新仪表盘。 log:DeleteDashboard 删除仪表盘。 log:CreateJob 创建任务。例如创建告警、订阅。 log:GetJob 查询任务。 log:DeleteJob 删除任务。 log:UpdateJob 更新任务。 log:PostLogStoreLogs 向指定的 Logstore 写入日志数据。