当前托管版集群的Worker RAM角色(即节点RAM角色)默认被授予少量的权限策略。为了进一步加强托管版集群节点的安全性,阿里云容器服务ACK计划于2023年07月17日开始灰度收敛托管版集群的Worker RAM角色被授予的权限策略。
影响范围
2023年07月17日及之后创建的ACK托管集群(ACK集群基础版和ACK集群Pro版),且集群为1.22.15-aliyun.1及以上版本。
重要
以下集群不在本次变更的影响范围内:
-
2023年07月17日之前创建的集群。
-
版本小于1.22.15-aliyun.1的集群。
-
未被灰度策略覆盖的阿里云账号创建的集群。
变更影响
变更前,Worker RAM角色默认被授予少量的权限策略。
变更后,新创建的ACK托管版集群的Worker RAM角色默认将不再被授予任何权限策略。
-
如果您的应用需要在集群内访问阿里云OpenAPI,推荐您基于ACK提供的RRSA特性获取OpenAPI访问凭证。更多信息,请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。
-
如果您的应用需要依赖Worker RAM角色,您可以手动为Worker RAM角色授予应用所需的权限策略。具体操作,请参见下文为Worker RAM角色授予权限策略。
-
如果您需要在新创建的集群内安装aliyun-acr-credential-helper组件,请确保安装最新版本的组件。
为Worker RAM角色授予权限策略
步骤一:创建自定义权限策略
-
使用阿里云账号登录RAM控制台。
-
在左侧导航栏,选择权限管理 > 策略管理。
-
在权限策略页面,单击创建权限策略。
-
在创建权限策略页面,单击脚本编辑页签。
-
输入权限策略内容,单击继续编辑基本信息。
-
输入权限策略名称和备注。
-
单击确定。
步骤二:为集群的Worker RAM角色授权
-
登录容器服务管理控制台,在左侧导航栏选择集群。
-
在集群列表页面,单击目标集群名称,然后单击集群资源页签。
-
在集群资源页签,单击Worker RAM 角色右侧的链接,跳转至RAM控制台。
-
在权限管理页签,单击新增授权,然后在自定义授权页签,选择上一步创建的自定义权限策略。
-
单击确定。
-
单击完成。
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/171632.html
