赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. 分布式云容器平台ACK One
  4. 操作指南
  5. 授权管理
  6. 为RAM用户或RAM角色授予系统权限策略

为RAM用户或RAM角色授予系统权限策略

  • 授权管理
  • 发布于 2025-04-18
  • 0 次阅读
文档编辑
文档编辑

默认情况下,RAM用户没有使用云服务OpenAPI的权限。若您通过RAM用户或RAM角色使用ACK One,需要授予其操作权限(例如创建舰队集群、关联集群、创建工作流集群等),才能正常使用ACK One的功能。ACK One提供默认系统权限策略,用于指定全局资源的读写访问控制,本文介绍如何为RAM用户或RAM角色授予系统权限策略。

注意事项

您需要使用阿里云(主账号)或RAM管理员账号为RAM用户或RAM角色授权,普通RAM用户无授权操作的权限。

ACK One支持的系统权限策略

RAM系统权限策略

权限说明

集群是否涉及

注册集群

多集群舰队

工作流集群

AliyunAdcpFullAccess

当RAM用户或RAM角色需要ACK One所有资源的读写权限。

是

是

是

AliyunAdcpReadOnlyAccess

当RAM用户或RAM角色需要ACK One所有资源的只读权限。

是

是

是

AliyunCSFullAccess

当RAM用户或RAM角色需要容器服务产品所有资源的读写权限。

是

是

不涉及

AliyunCSReadOnlyAccess

当RAM用户或RAM角色需要容器服务产品所有资源的只读权限。

是

是

不涉及

AliyunVPCReadOnlyAccess

当RAM用户或RAM角色在创建集群时选择指定VPC。

是

是

是

AliyunECIReadOnlyAccess

当RAM用户或RAM角色需要将集群Pod调度到ECI上。

是

是

是

AliyunLogReadOnlyAccess

当RAM用户或RAM角色在创建集群时选择已有Log Project存储审计日志,或查看指定集群的配置巡检。

是

是

是

AliyunARMSReadOnlyAccess

当RAM用户或RAM角色需要查看集群阿里云Prometheus插件的监控状态。

是

是

是

AliyunRAMReadOnlyAccess

当RAM用户或RAM角色需要查看已有的权限策略。

是

是

是

AliyunECSReadOnlyAccess

当RAM用户或RAM角色为集群添加已有云上节点或查看节点详细信息。

是

不涉及

不涉及

AliyunContainerRegistryReadOnlyAccess

当RAM用户或RAM角色需要查看阿里云账号内的业务镜像。

是

不涉及

不涉及

AliyunAHASReadOnlyAccess

当RAM用户或RAM角色需要使用集群拓扑功能。

是

不涉及

不涉及

AliyunYundunSASReadOnlyAccess

当RAM用户或RAM角色需要查看指定集群的运行时安全监控。

是

不涉及

不涉及

AliyunKMSReadOnlyAccess

当RAM用户或RAM角色在创建集群时启用Secret落盘加密功能。

是

不涉及

不涉及

AliyunESSReadOnlyAccess

当RAM用户或RAM角色需要执行云上节点池的相关操作,例如查看、编辑和扩缩容等。

是

不涉及

不涉及

为RAM用户或RAM角色授权

  1. 使用RAM管理员登录RAM控制台。

  2. 在左侧导航栏,选择身份管理 > 用户。

  3. 在用户页面,单击目标RAM用户操作列的添加权限。

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 在新增授权面板,为RAM用户添加权限。

    1. 选择资源范围。

      • 账号级别:权限在当前阿里云账号内生效。

      • 资源组级别:权限在指定的资源组内生效。

        重要

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务。

        说明

        系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授权时,尽量避免授予不必要的高风险权限策略。

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略。

    4. 单击确认新增授权。

相关文档

RAM系统策略仅控制ACK One集群资源的操作权限,若RAM用户或RAM角色需要操作指定集群内的K8s资源(例如创建GitOps Application和Workflow等),还需要获取指定ACK One舰队和工作流集群及其命名空间的操作权限即RBAC权限。具体授权操作,请参见为RAM用户或RAM角色授予RBAC权限。

相关文章

授权概述 2025-04-18 18:16

根据权限类型,分布式云容器平台 ACK One的权限包括服务角色、RAM权限策略和RBAC权限。您需要为服务账号授予对应的权限,才能正常使用分布式云容器平台 ACK One的功能。本文将为您介绍服务角色、RAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。

为RAM用户或RAM角色授予系统权限策略 2025-04-18 18:16

默认情况下,RAM用户没有使用云服务OpenAPI的权限。若您通过RAM用户或RAM角色使用ACK One,需要授予其操作权限(例如创建舰队集群、关联集群、创建工作流集群等),才能正常使用ACK One的功能。ACK One提供默认系统权限策略,用于指定全局资源的读写访问控制,本文介绍如何为RAM用

为RAM用户或RAM角色授予RBAC权限 2025-04-18 18:16

RAM系统策略仅控制ACK One集群资源的操作权限(例如创建实例、查看实例列表等),若RAM用户或RAM角色需要操作指定集群内的K8s资源,例如,创建GitOps Application和Argo Workflow等,还需要获取指定ACK One集群及其命名空间的操作权限即RBAC权限。本文为您介

ACK One服务角色策略内容 2025-04-18 18:16

服务角色是某个云服务在某些情况下,为了完成自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。您需要为ACK One服务账号授予对应的服务角色才能正常使用ACK One功能。本文为您介绍ACK One支持的服务角色以及角色的策略内容。 授权操作 首次使用ACK One服务时需要授权,使用

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号