当前托管版集群的Worker RAM角色(即节点RAM角色)默认被授予少量的权限策略。为了进一步加强托管版集群节点的安全性,阿里云容器服务ACK计划于2023年07月17日开始灰度收敛托管版集群的Worker RAM角色被授予的权限策略。
影响范围
2023年07月17日及之后创建的ACK托管集群(ACK托管集群基础版和ACK托管集群Pro版),且集群为1.22.15-aliyun.1及以上版本。
以下集群不在本次变更的影响范围内:
2023年07月17日之前创建的集群。
版本小于1.22.15-aliyun.1的集群。
未被灰度策略覆盖的阿里云账号创建的集群。
变更影响
变更前,Worker RAM角色默认被授予少量的权限策略。
变更后,新创建的ACK托管版集群的Worker RAM角色默认将不再被授予任何权限策略。
如果您的应用需要在集群内访问阿里云OpenAPI,推荐您基于ACK提供的RRSA特性获取OpenAPI访问凭证。更多信息,请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。
如果您的应用需要依赖Worker RAM角色,您可以手动为Worker RAM角色授予应用所需的权限策略。具体操作,请参见下文为Worker RAM角色授予权限策略。
如果您需要在新创建的集群内安装aliyun-acr-credential-helper组件,请确保安装最新版本的组件。
为Worker RAM角色授予权限策略
步骤一:创建自定义权限策略
关于创建自定义权限策略的具体操作,请参见创建自定义权限策略。
步骤二:为集群的Worker RAM角色授权
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称。
在集群信息页面的基本信息页签下,单击Worker RAM 角色右侧的链接,跳转至RAM控制台。
在权限管理页签,单击新增授权,然后在新增授权面板的权限策略区域,筛选上一步已创建的自定义权限策略。
单击确认新增授权。
单击关闭。