在您开通容器服务时,需要为服务账号授予系统默认角色,当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB等),创建集群以及保存日志等。本文介绍容器服务ACK默认角色包含的权限。

角色权限内容

本文介绍了以下角色的权限内容:

AliyunCSManagedLogRole

ACK集群日志组件使用AliyunCSManagedLogRole角色来访问您在其他云产品中的资源。

权限名称(Action) 说明
log:CreateProject 创建一个Project。
log:GetProject 根据Project名称查询Project。
log:DeleteProject 删除一个指定的Project。
log:CreateLogStore 在Project下创建Logstore。
log:GetLogStore 查看Logstore属性。
log:UpdateLogStore 更新Logstore的属性。
log:DeleteLogStore 删除Logstore。
log:CreateConfig 创建日志采集配置。
log:UpdateConfig 更新配置内容。
log:GetConfig 获取采集配置的详细信息。
log:DeleteConfig 删除指定的日志采集配置。
log:CreateMachineGroup 根据需求创建一组机器,用以日志收集下发配置。
log:UpdateMachineGroup 更新机器组信息。
log:GetMachineGroup 查看具体的MachineGroup信息。
log:DeleteMachineGroup 删除机器组。
log:ApplyConfigToGroup 将配置应用到机器组。
log:GetAppliedMachineGroups 获得机器组上已经被应用的机器列表。
log:GetAppliedConfigs 获得机器组上已经被应用的配置名称。
log:RemoveConfigFromMachineGroup 从机器组中删除配置。
log:CreateIndex 为指定Logstore创建索引。
log:GetIndex 查询指定Logstore的索引。
log:UpdateIndex 更新指定Logstore的索引。
log:DeleteIndex 删除指定Logstore的索引。
log:CreateSavedSearch 创建快速查询。
log:GetSavedSearch 查看指定快速查询。
log:UpdateSavedSearch 更新快速查询。
log:DeleteSavedSearch 删除快速查询。
log:CreateDashboard 创建仪表盘。
log:GetDashboard 查看指定仪表盘。
log:UpdateDashboard 更新仪表盘。
log:DeleteDashboard 删除仪表盘。
log:CreateJob 创建任务。例如创建告警、订阅。
log:GetJob 查询任务。
log:DeleteJob 删除任务。
log:UpdateJob 更新任务。
log:PostLogStoreLogs 向指定的Logstore写入日志数据。
log:CreateSortedSubStore 创建排序子存储。
log:GetSortedSubStore 获取排序子存储。
log:ListSortedSubStore 列举排序子存储。
log:UpdateSortedSubStore 更新排序子存储。
log:DeleteSortedSubStore 删除排序子存储。
log:CreateApp 日志服务APP(成本管家、日志审计)的创建权限。
log:UpdateApp 日志服务APP(成本管家、日志审计)的更新权限。
log:GetApp 日志服务APP(成本管家、日志审计)的查看权限。
log:DeleteApp 日志服务APP(成本管家、日志审计)的删除权限。
cs:DescribeTemplates 获取容器模板。
cs:DescribeTemplateAttribute 获取容器模板属性。

AliyunCSManagedCmsRole

ACK集群云监控组件使用AliyunCSManagedCmsRole角色来访问您在其他云产品中的资源。

权限名称(Action) 说明
cms:DescribeMonitorGroups 查询应用分组列表。
cms:DescribeMonitorGroupInstances 查询指定应用分组内包含的资源列表。
cms:CreateMonitorGroup 创建一个应用分组。
cms:DeleteMonitorGroup 删除指定的应用分组。
cms:ModifyMonitorGroupInstances 修改应用分组中的资源。
cms:CreateMonitorGroupInstances 添加资源到应用分组。
cms:DeleteMonitorGroupInstances 删除应用分组内的资源实例。
cms:TaskConfigCreate 创建监控任务配置。
cms:TaskConfigList 列举监控任务配置。
cms:DescribeMetricList 查询指定时间段内的云产品时序指标监控数据。
cs:DescribeMonitorToken 获取容器服务监控令牌。
ahas:GetSentinelAppSumMetric 获取AHAS Sentinel应用监控指标。
log:GetLogStoreLogs 查看Logstore日志。
slb:DescribeMetricList 查询指定时间段内的云产品时序指标监控数据。
sls:GetLogs 获取SLS服务中指定Project下某个Logstore中的日志数据。
sls:PutLogs 更新SLS服务中指定Project下某个Logstore中的日志数据。

AliyunCSManagedCsiRole

ACK集群存储插件使用AliyunCSManagedCsiRole角色来访问您在其他云产品中的资源。

  • ECS相关权限
    权限名称(Action) 说明
    ecs:AttachDisk 为一台ECS实例挂载一块按量付费数据盘,或者挂载一块系统盘。
    ecs:DetachDisk 从一台实例上卸载一块按量付费磁盘。
    ecs:DescribeDisks 查询一块或多块您已经创建的云盘以及本地盘。
    ecs:CreateDisk 创建一块按量付费或包年包月数据盘。
    ecs:ResizeDisk 扩容一块云盘,支持扩容系统盘和数据盘。
    ecs:CreateSnapshot 为一块云盘创建一份快照。
    ecs:DeleteSnapshot 删除指定的快照。如果需要取消正在创建的快照,也可以调用该接口删除快照,即取消创建快照任务。
    ecs:CreateAutoSnapshotPolicy 创建一条自动快照策略。
    ecs:ApplyAutoSnapshotPolicy 为一块或者多块云盘应用自动快照策略。
    ecs:CancelAutoSnapshotPolicy 取消一块或者多块云盘的自动快照策略。
    ecs:DeleteAutoSnapshotPolicy 删除一条自动快照策略。
    ecs:DescribeAutoSnapshotPolicyEX 查询您已创建的自动快照策略。
    ecs:ModifyAutoSnapshotPolicyEx 修改一条自动快照策略。
    ecs:AddTags 为ECS节点添加标签。
    ecs:DescribeTags 查询标签。
    ecs:DescribeSnapshots 查询一台ECS实例或一块云盘所有的快照列表。
    ecs:ListTagResources 查询一个或多个ECS资源已经绑定的标签列表。
    ecs:TagResources 为指定的ECS资源列表统一创建并绑定标签。
    ecs:UntagResources 为指定的ECS资源列表统一解绑并删除标签。
    ecs:ModifyDiskSpec 升级一块ESSD云盘的性能等级。
    ecs:CreateSnapshot 为一块云盘创建一份快照。
    ecs:DeleteDisk 释放一块按量付费数据盘。
    ecs:DescribeInstanceAttribute 查询实例所有的属性信息。
    ecs:DescribeInstances 查询一台或多台ECS实例的详细信息。
  • NAS相关权限
    权限名称(Action) 说明
    nas:DescribeFileSystems 返回文件系统描述信息。
    nas:DescribeMountTargets 返回挂载点描述信息。
    nas:AddTags 添加或者覆盖一个或者多个标签到一个文件系统实例。
    nas:DescribeTags 查询已有标签。
    nas:RemoveTags 从一个文件系统实例上解绑一个或多个标签。
    nas:CreateFileSystem 创建新的文件系统。
    nas:DeleteFileSystem 删除已有文件系统。
    nas:DescribeFileSystems 返回文件系统描述信息。
    nas:ModifyFileSystem 修改文件系统信息。
    nas:CreateMountTarget 创建挂载点。
    nas:DeleteMountTarget 删除已有挂载点。
    nas:DescribeMountTargets 返回挂载点描述信息。
    nas:ModifyMountTarget 修改挂载点信息。

AliyunCSManagedVKRole

ACK集群Virtual Kubelet组件使用AliyunCSManagedVKRole角色来访问您在其他云产品中的资源。

  • VPC相关权限
    权限名称(Action) 说明
    vpc:DescribeVSwitches 查询已创建的交换机。
    vpc:DescribeVpcs 查询已创建的VPC。
    vpc:AssociateEipAddress 将弹性公网IP(EIP)绑定到同地域的云产品实例上。
    vpc:DescribeEipAddresses 查询指定地域已创建的EIP。
    vpc:AllocateEipAddress 申请弹性公网IP(EIP)。
    vpc:ReleaseEipAddress 释放指定的弹性公网IP(EIP)。
  • ECS相关权限
    权限名称(Action) 说明
    ecs:DescribeSecurityGroups 查询您创建的安全组的基本信息。
    ecs:CreateNetworkInterface 创建一个弹性网卡(ENI)。
    ecs:CreateNetworkInterfacePermission 创建弹性网卡(ENI)权限。
    ecs:DescribeNetworkInterfaces 查看弹性网卡(ENI)列表。
    ecs:AttachNetworkInterface 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。
    ecs:DetachNetworkInterface 从一台ECS实例上分离一个弹性网卡(ENI)。
    ecs:DeleteNetworkInterface 删除一个弹性网卡(ENI)。
    ecs:DeleteNetworkInterfacePermission 删除弹性网卡(ENI)权限。
  • VPTZ相关权限
    权限名称(Action) 说明
    pvtz:AddZone 创建私有区域。
    pvtz:DeleteZone 删除私有区域。
    pvtz:DescribeZones 查询用户的区域列表。
    pvtz:DescribeZoneInfo 获取指定区域的详细信息。
    pvtz:BindZoneVpc 绑定或者解绑区域与VPC列表两者之间的关系。
    pvtz:AddZoneRecord 添加私有区域的解析记录。
    pvtz:DeleteZoneRecord 删除解析记录。
    pvtz:DeleteZoneRecordsByRR 删除解析记录列表。
    pvtz:DescribeZoneRecordsByRR 查询解析记录列表
    pvtz:DescribeZoneRecords 查询解析记录列表。
  • ECI相关权限
    权限名称(Action) 说明
    eci:CreateContainerGroup 创建一个容器组。
    eci:DeleteContainerGroup 删除一个容器组。
    eci:DescribeContainerGroups 批量获取容器组信息。
    eci:DescribeContainerLog 获取容器组日志信息。
    eci:UpdateContainerGroup 更新实例。
    eci:UpdateContainerGroupByTemplate 通过模板更新ECI实例。
    eci:CreateContainerGroupFromTemplate 通过模板创建ECI实例。
    eci:RestartContainerGroup 重启ECI实例。
    eci:ExportContainerGroupTemplate 导出用户创建ECI的模板。
    eci:DescribeContainerGroupMetric 查询一个ECI的监控信息。
    eci:DescribeMultiContainerGroupMetric 同时查询多个容器组的监控信息。
    eci:ExecContainerCommand 在容器内部执行命令。
    eci:CreateImageCache 制作镜像缓存。
    eci:DescribeImageCaches 查询镜像缓存信息。
    eci:DeleteImageCache 删除镜像缓存。

AliyunCSClusterRole

ACK在应用运行期使用AliyunCSClusterRole角色来访问您在其他云产品中的资源。

  • ECS相关权限
    权限名称(Action) 说明
    ecs:Describe* 查询ECS相关资源。
  • OSS相关权限
    权限名称(Action) 说明
    oss:PutObject 上传文件或文件夹对象。
    oss:GetObject 获取文件或文件夹对象。
    oss:ListObjects 查询文件列表信息。
  • CMS相关权限
    权限名称(Action) 说明
    cms:List* 列举CMS相关资源权限。
    cms:Get* 获取CMS相关资源权限。
    cms:UpdateAlert 更新报警。
    cms:CreateAlert 创建报警。
    cms:DeleteAlert 删除报警。
    cms:UpdateDimensions 更新监控规模配置。
    cms:CreateDimensions 创建监控规模配置。
    cms:DeleteDimensions 删除监控规模配置。
    cms:SendAlarm 发送监控告警。
    cms:CreateProject 创建监控项目。
    cms:DeleteProject 删除监控项目。
    cms:UpdateProject 更新监控项目。
    cms:QueryAlarm 查询监控告警。
    cms:ListAlarm 列举监控告警。
    cms:CreateAlarm 创建监控告警
    cms:DeleteAlarm 删除监控告警
    cms:UpdateAlarm 更新监控告警
  • SLB权限
    权限名称(Action) 说明
    slb:Describe* 查询负载均衡相关信息。
    slb:CreateLoadBalancer 创建负载均衡实例。
    slb:DeleteLoadBalancer 删除负载均衡实例。
    slb:RemoveBackendServers 解绑负载均衡实例。
    slb:StartLoadBalancerListener 启动指定的监听服务。
    slb:StopLoadBalancerListener 停止指定的监听服务。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则。
    slb:AddBackendServers* 添加后端服务器。
    slb:DeleteLoadBalancerListener 删除负载均衡实例。
    slb:CreateVServerGroup 创建虚拟服务器组,并添加后端服务器。
    slb:ModifyVServerGroupBackendServers 改变虚拟服务器组中的后端服务器。
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:SetBackendServers 配置后端服务器,为负载均衡实例后端的一组服务器(ECS实例)配置权重值。
    slb:AddTags 为SLB实例添加标签。
  • 日志服务相关权限
    权限名称(Action) 说明
    log:Get* 获取日志服务相关资源权限。
    log:List* 列举日志服务相关资源权限。
    log:CreateProject 创建一个Project。
    log:DeleteProject 删除一个指定的Project。
    log:UpdateProject 更新一个Project。
    log:CreateMachineGroup 根据需求创建一组机器,用以日志收集下发配置。
    log:DeleteMachineGroup 删除机器组。
    log:UpdateMachineGroup 更新机器组信息。
    log:CreateLogStore 在Project下创建Logstore。
    log:DeleteLogStore 删除Logstore。
    log:UpdateLogStore 更新Logstore的属性。
    log:CreateIndex 为指定Logstore创建索引。
    log:DeleteIndex 删除指定Logstore的索引。
    log:UpdateIndex 更新指定Logstore的索引。
    log:CreateConfig 创建日志采集配置。
    log:DeleteConfig 删除指定的日志采集配置。
    log:UpdateConfig 更新配置内容。
    log:ApplyConfigToGroup 将配置应用到机器组。

AliyunCSServerlessKubernetesRole

ASK默认使用AliyunCSServerlessKubernetesRole角色来访问您在其他云产品中的资源。

  • VPC相关权限
    权限名称(Action) 说明
    DescribeVSwitches 查询已创建的交换机。
    DescribeVpcs 查询已创建的VPC。
    AssociateEipAddress 将弹性公网IP(EIP)绑定到同地域的云产品实例上。
    DescribeEipAddresses 查询指定地域已创建的EIP。
    AllocateEipAddress 申请弹性公网IP(EIP)。
    ReleaseEipAddress 释放指定的弹性公网IP(EIP)。
    AddCommonBandwidthPackageIp 添加EIP到共享带宽中。
    RemoveCommonBandwidthPackageIp 移除共享带宽实例中的EIP。
  • ECS相关权限
    权限名称(Action) 说明
    DescribeSecurityGroups 查询您创建的安全组的基本信息。
    CreateNetworkInterface 创建一个弹性网卡(ENI)。
    CreateNetworkInterfacePermission 创建弹性网卡(ENI)权限。
    DescribeNetworkInterfaces 查看弹性网卡(ENI)列表。
    AttachNetworkInterface 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。
    DetachNetworkInterface 从一台ECS实例上分离一个弹性网卡(ENI)。
    DeleteNetworkInterface 删除一个弹性网卡(ENI)。
    DeleteNetworkInterfacePermission 删除弹性网卡(ENI)权限。
  • SLB相关权限
    权限名称(Action) 说明
    slb:Describe* 查询负载均衡SLB相关资源。
    slb:CreateLoadBalancer 创建负载均衡实例。
    slb:DeleteLoadBalancer 删除后付费的负载均衡实例。
    slb:RemoveBackendServers 移除后端服务器。
    slb:StartLoadBalancerListener 启动监听。
    slb:StopLoadBalancerListener 停止监听。
    slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则。
    slb:AddBackendServers* 添加后端服务器。
    slb:UploadServerCertificate 上传服务器证书。
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于HTTPS协议的监听。
    slb:CreateLoadBalancerUDPListener 创建UDP监听。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:CreateRules 为指定的HTTP或HTTPS监听添加转发规则。
    slb:DeleteRules 删除转发规则。
    slb:SetRule 修改目标虚拟服务器组的转发规则。
    slb:CreateVServerGroup 向指定的后端服务器组中添加后端服务器。
    slb:SetVServerGroupAttribute 修改虚拟服务器组的配置。
    slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。
    slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。
    slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。
    slb:DeleteVServerGroup 删除服务器组。
    slb:SetLoadBalancerTCPListenerAttribute 修改TCP监听的配置。
    slb:SetLoadBalancerHTTPListenerAttribute 修改HTTP监听的配置。
    slb:SetLoadBalancerHTTPSListenerAttribute 修改HTTPS监听的配置。
    slb:AddTags 为指定的负载均衡实例添加标签。
  • PVTZ(云解析)相关权限
    权限名称(Action) 说明
    AddZone 创建私有区域。
    DeleteZone 删除私有区域。
    DescribeZones 查询用户的区域列表。
    DescribeZoneInfo 获取指定区域的详细信息。
    BindZoneVpc 绑定或者解绑区域与VPC列表两者之间的关系。
    AddZoneRecord 添加私有区域的解析记录。
    DeleteZoneRecord 删除解析记录。
    DeleteZoneRecordsByRR 删除解析记录列表。
    DescribeZoneRecordsByRR 查询解析记录列表
    DescribeZoneRecords 查询解析记录列表。
  • ACR相关权限
    权限名称(Action) 说明
    Get* 查询容器镜像服务相关资源。
    List* 查看容器镜像仓库列表。
    PullRepository 拉取镜像。
  • ECI相关权限
    权限名称(Action) 说明
    CreateContainerGroup 创建一个容器组。
    DeleteContainerGroup 删除一个容器组。
    DescribeContainerGroups 批量获取容器组信息。
    DescribeContainerLog 获取容器组日志信息。
    UpdateContainerGroup 更新实例。
    UpdateContainerGroupByTemplate 通过模板更新ECI实例。
    CreateContainerGroupFromTemplate 通过模板创建ECI实例。
    RestartContainerGroup 重启ECI实例。
    ExportContainerGroupTemplate 导出用户创建ECI的模板。
    DescribeContainerGroupMetric 查询一个ECI的监控信息。
    DescribeMultiContainerGroupMetric 同时查询多个容器组的监控信息。
    ExecContainerCommand 在容器内部执行命令。
    CreateImageCache 制作镜像缓存。
    DescribeImageCaches 查询镜像缓存信息。
    DeleteImageCache 删除镜像缓存。
  • RAM相关权限
    权限名称(Action) 说明
    ram:PassRole 访问CodePipeline控制台。
  • OSS相关权限
    权限名称(Action) 说明
    oss:GetObject 获取文件或文件夹对象。
    oss:GetObjectMeta 获取一个文件(Object)的元数据信息。
  • FC相关权限
    权限名称(Action) 说明
    fc:CreateService 新建一个服务。
    fc:ListServices 获取服务列表。
    fc:GetService 获取指定服务。
    fc:UpdateService 更新指定服务。
    fc:DeleteService 删除指定服务。
    fc:CreateFunction 新建一个新函数。
    fc:ListFunctions 获取服务下的函数列表。
    fc:GetFunction 获取指定函数的配置信息。
    fc:GetFunctionCode 获取函数编码。
    fc:UpdateFunction 更新函数,包括配置和代码。
    fc:DeleteFunction 删除指定的函数。
    fc:CreateTrigger 创建函数触发器。
    fc:ListTriggers 获取函数下的触发器列表。
    fc:GetTrigger 获取指定触发器。
    fc:UpdateTrigger 更新指定函数触发器配置。
    fc:DeleteTrigger 删除指定函数的触发器。
    fc:PublishServiceVersion 发布函数计算服务版本。
    fc:ListServiceVersions 列举函数计算服务版本。
    fc:DeleteServiceVersion 删除函数计算服务版本。
    fc:CreateAlias 创建一个别名,并且将别名与一个用户主密钥绑定。
    fc:ListAliases 列出云账号在本地域的所有别名。
    fc:GetAlias 获取别名信息。
    fc:UpdateAlias 绑定指定别名到新的用户主密钥。
    fc:DeleteAlias 删除指定别名。

AliyunCSKubernetesAuditRole

ACK审计功能使用AliyunCSKubernetesAuditRole角色来访问您在其他云产品中的资源。

权限名称(Action) 说明
log:CreateProject 创建一个Project。
log:GetProject 根据Project名称查询Project。
log:DeleteProject 删除一个指定的Project。
log:CreateLogStore 在Project下创建Logstore。
log:GetLogStore 查看Logstore属性。
log:UpdateLogStore 更新Logstore的属性。
log:DeleteLogStore 删除Logstore。
log:CreateConfig 创建日志采集配置。
log:UpdateConfig 更新配置内容。
log:GetConfig 获取采集配置的详细信息。
log:DeleteConfig 删除指定的日志采集配置。
log:CreateMachineGroup 根据需求创建一组机器,用以日志收集下发配置。
log:UpdateMachineGroup 更新机器组信息。
log:GetMachineGroup 查看具体的MachineGroup信息。
log:DeleteMachineGroup 删除机器组。
log:ApplyConfigToGroup 将配置应用到机器组。
log:GetAppliedMachineGroups 获得机器组上已经被应用的机器列表。
log:GetAppliedConfigs 获得机器组上已经被应用的配置名称。
log:RemoveConfigFromMachineGroup 从机器组中删除配置。
log:CreateIndex 为指定Logstore创建索引。
log:GetIndex 查询指定Logstore的索引。
log:UpdateIndex 更新指定Logstore的索引。
log:DeleteIndex 删除指定Logstore的索引。
log:CreateSavedSearch 创建快速查询。
log:GetSavedSearch 查看指定快速查询。
log:UpdateSavedSearch 更新快速查询。
log:DeleteSavedSearch 删除快速查询。
log:CreateDashboard 创建仪表盘。
log:GetDashboard 查看指定仪表盘。
log:UpdateDashboard 更新仪表盘。
log:DeleteDashboard 删除仪表盘。
log:CreateJob 创建任务。例如创建告警、订阅。
log:GetJob 查询任务。
log:DeleteJob 删除任务。
log:UpdateJob 更新任务。
log:PostLogStoreLogs 向指定的Logstore写入日志数据。

AliyunCSManagedNetworkRole

ACK集群网络组件使用AliyunCSManagedNetworkRole角色来访问您在其他云产品中的资源。

权限名称(Action) 说明
ecs:CreateNetworkInterface 创建一个弹性网卡(ENI)。
ecs:DescribeNetworkInterfaces 查看弹性网卡(ENI)列表。
ecs:AttachNetworkInterface 附加弹性网卡(ENI)到专有网络(VPC)类型实例上。
ecs:DetachNetworkInterface 从一台实例上分离一个弹性网卡(ENI)。
ecs:DeleteNetworkInterface 删除一个弹性网卡(ENI)。
ecs:DescribeInstanceAttribute 查询一台或多台ECS实例部分信息。
ecs:AssignPrivateIpAddresses 为一块弹性网卡分配一个或多个辅助私有IP地址。
ecs:UnassignPrivateIpAddresses 从一块弹性网卡删除一个或多个辅助私有IP地址。
ecs:DescribeInstances 查询一台或多台ECS实例的详细信息。
vpc:DescribeVSwitches 查询一台或多台交换机的详细信息。

AliyunCSDefaultRole

ACK在集群操作时默认使用AliyunCSDefaultRole角色来访问您在其他云产品中的资源。

  • ECS相关权限
    权限名称(Action) 说明
    ecs:RunInstances 启动ECS实例。
    ecs:RenewInstance ECS实例续费。
    ecs:Create* 创建ECS相关资源,如实例、磁盘等。
    ecs:AllocatePublicIpAddress 分配公网IP地址。
    ecs:AllocateEipAddress 分配EIP地址。
    ecs:Delete* 删除机器实例。
    ecs:StartInstance 启动ECS相关资源。
    ecs:StopInstance 停止机器实例。
    ecs:RebootInstance 重启机器实例。
    ecs:Describe* 查询ECS相关资源。
    ecs:AuthorizeSecurityGroup 设置安全组入规则。
    ecs:RevokeSecurityGroup 撤销安全组规则。
    ecs:AuthorizeSecurityGroupEgress 设置安全组出规则。
    ecs:AttachDisk 添加磁盘。
    ecs:DetachDisk 清理磁盘。
    ecs:WaitFor* 任务执行等待。
    ecs:AddTags 添加标签。
    ecs:ReplaceSystemDisk 更换ECS实例的系统盘。
    ecs:ModifyInstanceAttribute 修改实例属性。
    ecs:JoinSecurityGroup 将实例加入到指定的安全组。
    ecs:LeaveSecurityGroup 将实例移出指定的安全组。
    ecs:UnassociateEipAddress 解绑弹性公网IP。
    ecs:ReleaseEipAddress 释放弹性公网IP。
    ecs:CreateKeyPair 创建一对SSH密钥对。
    ecs:ImportKeyPair 导入由其他工具产生的RSA密钥对的公钥部分。
    ecs:AttachKeyPair 绑定一个SSH密钥对到一台或多台Linux实例。
    ecs:DetachKeyPair 为一台或者多台Linux实例解绑SSH密钥对。
    ecs:DeleteKeyPairs 删除一对或者多对SSH密钥对。
    ecs:AttachInstanceRamRole 为一台或多台ECS实例授予实例RAM角色。
    ecs:DetachInstanceRamRole 收回一台或多台ECS实例的实例RAM角色。
    ecs:AllocateDedicatedHosts 创建一台或多台按量付费或者包年包月专有宿主机。
    ecs:CreateOrder 创建ECS实例订单。
    ecs:DeleteInstance 释放一台按量付费实例或者到期的包年包月实例。
    ecs:CreateDisk 创建一块按量付费或包年包月数据盘。
    ecs:Createvpc 创建ECS关联VPC。
    ecs:Deletevpc 删除ECS关联VPC。
    ecs:DeleteVSwitch 删除ECS关联交换机。
    ecs:ResetDisk 使用磁盘的历史快照回滚至某一阶段的磁盘状态。
    ecs:DeleteSnapshot 删除指定的快照。
    ecs:AllocatePublicIpAddress 为一台ECS实例分配一个公网IP地址。
    ecs:CreateVSwitch 创建ECS关联交换机。
    ecs:DeleteSecurityGroup 删除一个安全组。
    ecs:CreateImage 创建一份自定义镜像。
    ecs:RemoveTags 删除ECS实例标签。
    ecs:ReleaseDedicatedHost 释放一台按量付费专有宿主机。
    ecs:CreateInstance 创建一台包年包月或者按量付费ECS实例。
    ecs:RevokeSecurityGroupEgress 删除一条安全组出方向规则,撤销安全组出方向的访问权限。
    ecs:DeleteDisk 释放一块按量付费数据盘。
    ecs:StopInstance 停止运行一台实例。
    ecs:CreateSecurityGroup 新建一个安全组。
    ecs:RevokeSecurityGroup 删除一条安全组入方向规则,撤销安全组入方向的权限设置。
    ecs:DeleteImage 删除一份自定义镜像。
    ecs:ModifyInstanceSpec 调整一台按量付费ECS实例的实例规格和公网带宽大小。
    ecs:CreateSnapshot 为一块云盘创建一份快照。
    ecs:CreateCommand 新建一条云助手命令。
    ecs:InvokeCommand 为一台或多台ECS实例触发一条云助手命令。
    ecs:StopInvocation 停止一台或多台ECS实例中一条正在进行中(Running)的云助手命令进程。
    ecs:DeleteCommand 删除一条云助手命令。
    ecs:RunCommand 新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。
    ecs:DescribeInvocationResults 查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。
    ecs:ModifyCommand 修改一条云助手命令。
  • VPC相关权限
    权限名称(Action) 说明
    vpc:Describe* 查询VPC相关资源的信息。
    vpc:AllocateEipAddress 分配EIP地址。
    vpc:AssociateEipAddress 关联EIP地址。
    vpc:UnassociateEipAddress 不关联EIP地址。
    vpc:ReleaseEipAddress 释放弹性公网IP。
    vpc:CreateRouteEntry 创建路由接口。
    vpc:DeleteRouteEntry 删除路由接口。
    vpc:CreateVSwitch 创建交换机。
    vpc:DeleteVSwitch 删除交换机。
    vpc:CreateVpc 创建一个VPC。
    vpc:DeleteVpc 删除一个VPC。
    vpc:CreateNatGateway 创建一个NAT网关。
    vpc:DeleteNatGateway 删除指定的NAT网关。
    vpc:CreateSnatEntry 在SNAT列表中添加SNAT条目。
    vpc:DeleteSnatEntry 删除指定的SNAT条目。
    vpc:ModifyEipAddressAttribute 修改指定EIP的名称、描述信息和带宽峰值。
    vpc:CreateForwardEntry 在DNAT列表中添加DNAT条目。
    vpc:DeleteBandwidthPackage 创建指定的NAT带宽包。
    vpc:CreateBandwidthPackage 删除指定的NAT带宽包。
    vpc:DeleteForwardEntry 删除指定的DNAT条目。
    vpc:TagResources 为指定的资源统一创建并绑定标签。
    vpc:DeletionProtection 置实例删除保护功能。
  • SLB相关权限
    权限名称(Action) 说明
    slb:Describe* 查询负载均衡相关信息。
    slb:CreateLoadBalancer 创建负载均衡实例。
    slb:DeleteLoadBalancer 删除负载均衡实例。
    slb:RemoveBackendServers 解绑负载均衡实例。
    slb:StartLoadBalancerListener 启动指定的监听服务。
    slb:StopLoadBalancerListener 停止指定的监听服务。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则。
    slb:AddBackendServers 添加后端服务器。
    slb:CreateVServerGroup 创建虚拟服务器组,并添加后端服务器。
    slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于HTTPS协议的监听。
    slb:CreateLoadBalancerUDPListener 创建UDP监听。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:SetBackendServers 配置后端服务器,为负载均衡实例后端的一组服务器(ECS实例)配置权重值。
    slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。
    slb:DeleteVServerGroup 删除服务器组。
    slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。
    slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。
    slb:AddTags 为指定的负载均衡实例添加标签。
    slb:RemoveTags 解绑指定负载均衡实例下的标签。
    slb:SetLoadBalancerDeleteProtection 为负载均衡实例设置删除保护。
  • DNS相关权限
    权限名称(Action) 说明
    dns:Describe* 查询DNS相关资源。
    dns:AddDomainRecord 添加域名解析记录。
  • RDS相关权限
    权限名称(Action) 说明
    rds:Describe* 查询RDS相关资源。
    rds:ModifySecurityIps 修改RDS实例IP白名单。
  • ROS相关权限
    权限名称(Action) 说明
    ros:Describe* 获取ROS相关资源。
    ros:WaitConditions ROS脚本执行等待。
    ros:AbandonStack 终止Stack。
    ros:DeleteStack 删除Stack。
    ros:CreateStack 创建Stack。
    ros:UpdateStack 更新Stack。
    ros:ValidateTemplate 校验ROS模板。
    ros:DoActions 执行Actions。
    ros:InquiryStack 查询Stack。
    ros:SetDeletionProtection 设置删除保护。
    ros:PreviewStack 预览Stack。
  • ESS相关权限
    权限名称(Action) 说明
    ess:Describe* 查询ESS相关资源。
    ess:CreateScalingConfiguration 创建一个伸缩配置。
    ess:EnableScalingGroup 启用一个伸缩组。
    ess:ExitStandby 使伸缩组内处于备用状态的ECS实例进入运行状态。
    ess:DetachDBInstances 移除一个或多个RDS实例。
    ess:DetachLoadBalancers 移除一个或多个负载均衡实例。
    ess:AttachInstances 从一个伸缩组关联一台或多台ECS实例。
    ess:DeleteScalingConfiguration 删除一个伸缩配置。
    ess:AttachLoadBalancers 添加一个或多个负载均衡实例。
    ess:DetachInstances 从一个伸缩组分离一台或多台ECS实例。
    ess:ModifyScalingRule 修改伸缩组规则。
    ess:RemoveInstances 从指定的伸缩组里移出ECS实例。
    ess:ModifyScalingGroup 修改一个伸缩组。
    ess:AttachDBInstances 添加一个或多个RDS实例。
    ess:CreateScalingRule 创建一条伸缩规则。
    ess:DeleteScalingRule 删除一条伸缩规则。
    ess:ExecuteScalingRule 执行一条伸缩规则。
    ess:SetInstancesProtection 保护或者停止保护伸缩组内的一台或者多台ECS实例。
    ess:ModifyNotificationConfiguration 修改一条弹性伸缩事件及资源变化通知的信息。
    ess:CreateNotificationConfiguration 创建一条弹性伸缩事件及资源变化通知的信息。
    ess:EnterStandby 将伸缩组内的ECS实例设置为备用状态。
    ess:DeleteScalingGroup 删除一个伸缩组。
    ess:CreateScalingGroup 创建一个伸缩组。
    ess:DeleteNotificationConfiguration 删除一条弹性伸缩事件及资源变化通知的信息。
    ess:DisableScalingGroup 禁用一个伸缩组。
    ModifyScalingConfiguration 修改一个伸缩配置。
    SetGroupDeletionProtection 为伸缩组开启或关闭删除保护。
  • RAM相关权限
    权限名称(Action) 说明
    ram:PassRole RAM跨服务授权权限。
    ram:Get* 获取RAM相关资源权限。
    ram:List* 列举RAM相关资源权限。
    ram:DetachPolicyFromRole 为角色撤销指定的权限。
    ram:AttachPolicyToRole 为指定角色附加授权。
    ram:DeletePolicy 删除指定权限策略。
    ram:DeletePolicyVersion 删除指定版本的策略。
    ram:DeleteRole 删除RAM角色。
    ram:CreateRole 创建RAM角色。
    ram:CreatePolicy 创建RAM策略。
    ram:CreateServiceLinkedRole 创建SLR权限。
  • CMS相关权限
    权限名称(Action) 说明
    cms:CreateMyGroups 创建个人应用分组。
    cms:AddMyGroupInstances 添加个人分组内的资源实例。
    cms:DeleteMyGroupInstances 删除个人分组内的资源实例。
    cms:DeleteMyGroups 删除个人应用分组。
    cms:GetMyGroups 获取个人应用分组。
    cms:ListMyGroups 列举个人应用分组。
    cms:UpdateMyGroupInstances 更新个人分组中的资源实例。
    cms:UpdateMyGroups 更新个人应用分组。
    cms:TaskConfigCreate 创建监控任务配置。
    cms:TaskConfigList 列举监控任务配置。
  • ESS相关权限
    权限名称(Action) 说明
    ess:CreateLifecycleHook 为伸缩组创建一个或多个生命周期挂钩。
    ess:DescribeLifecycleHooks 查询生命周期挂钩。
    ess:ModifyLifecycleHook 修改生命周期挂钩。
    ess:DeleteLifecycleHook 删除生命周期挂钩。
  • ENS相关权限
    权限名称(Action) 说明
    ens:Describe* 获取边缘节点服务相关资源权限。
    ens:CreateInstance 创建边缘实例。
    ens:StartInstance 启动边缘实例。
    ens:StopInstance 停止边缘实例。
    ens:ReleasePrePaidInstance 释放包年包月实例。

AliyunCSManagedKubernetesRole

ACK托管版集群默认使用AliyunCSManagedKubernetesRole角色来访问您在其他云产品中的资源。

  • ECS相关权限
    权限名称(Action) 说明
    ecs:Describe* 查询ECS相关资源。
    ecs:CreateRouteEntry 创建路由接口。
    ecs:DeleteRouteEntry 删除路由接口。
    ecs:CreateNetworkInterface 创建一个弹性网卡(ENI)。
    ecs:DeleteNetworkInterface 删除一个弹性网卡(ENI)。
    ecs:CreateNetworkInterfacePermission 创建弹性网卡(ENI)权限。
    ecs:DeleteNetworkInterfacePermission 删除弹性网卡(ENI)权限。
    ecs:ModifyInstanceAttribute 修改实例属性。
    ecs:AttachKeyPair 绑定一个SSH密钥对到一台或多台Linux实例。
    ecs:StopInstance 停止运行一台实例。
    ecs:StartInstance 启动一台实例。
    ecs:ReplaceSystemDisk 更换一台ECS实例的系统盘或者操作系统。
  • SLB相关权限
    权限名称(Action) 说明
    slb:Describe* 查询负载均衡相关资源。
    slb:CreateLoadBalancer 创建负载均衡实例。
    slb:DeleteLoadBalancer 删除负载均衡实例。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:RemoveBackendServers 移除后端服务器。
    slb:AddBackendServers 添加后端服务器。
    slb:RemoveTags 解绑指定负载均衡实例下的标签。
    slb:AddTags 为指定的负载均衡实例添加标签。
    slb:StopLoadBalancerListener 停止监听。
    slb:StartLoadBalancerListener 启动监听。
    slb:SetLoadBalancerHTTPListenerAttribute 修改HTTP监听的配置。
    slb:SetLoadBalancerHTTPSListenerAttribute 修改HTTPS监听的配置。
    slb:SetLoadBalancerTCPListenerAttribute 修改TCP监听的配置。
    slb:SetLoadBalancerUDPListenerAttribute 修改UDP协议监听的配置。
    slb:CreateLoadBalancerHTTPSListener 为负载均衡实例创建基于HTTPS协议的监听。
    slb:CreateLoadBalancerHTTPListener 为负载均衡实例创建基于HTTP协议的监听。
    slb:CreateLoadBalancerTCPListener 为负载均衡实例创建基于TCP协议的监听规则。
    slb:CreateLoadBalancerUDPListener 创建UDP监听。
    slb:DeleteLoadBalancerListener 删除负载均衡实例监听规则。
    slb:CreateVServerGroup 向指定的后端服务器组中添加后端服务器。
    slb:DescribeVServerGroups 查询服务器组列表。
    slb:DeleteVServerGroup 删除服务器组。
    slb:SetVServerGroupAttribute 修改虚拟服务器组的配置。
    slb:DescribeVServerGroupAttribute 查询服务器组的详细信息。
    slb:ModifyVServerGroupBackendServers 替换服务器组中的后端服务器。
    slb:AddVServerGroupBackendServers 向指定的后端服务器组中添加后端服务器。
    slb:ModifyLoadBalancerInstanceSpec 修改负载均衡的实例规格。
    slb:ModifyLoadBalancerInternetSpec 修改公网负载均衡实例的计费方式。
    slb:RemoveVServerGroupBackendServers 从指定的后端服务器组中移除后端服务器。
  • VPC相关权限
    权限名称(Action) 说明
    vpc:Describe* 查询VPC相关资源的信息。
    vpc:DeleteRouteEntry 删除自定义路由条目。
    vpc:CreateRouteEntry 创建自定义路由条目。
  • ACR相关权限
    权限名称(Action) 说明
    cr:Get* 查询容器镜像服务相关资源。
    cr:List* 查看容器镜像仓库列表。
    cr:PullRepository 拉取镜像。

AliyunCSManagedArmsRole

ACK集群应用实时监控插件使用AliyunCSManagedArmsRole角色来访问您在其他云产品中的资源。

权限名称(Action) 说明
arms:CreateApp 创建应用监控。
arms:DeleteApp 删除应用监控。
arms:ConfigAgentLabel 修改应用监控Agent的标签。
arms:GetAssumeRoleCredentials 获取应用监控角色扮演密钥凭证。
arms:CreateProm 创建阿里云Prometheus监控。
arms:SearchEvents 查询报警事件记录。
arms:SearchAlarmHistories 查询告警历史发送记录。
arms:SearchAlertRules 查询监控告警规则。
arms:GetAlertRules 获取监控告警规则。
arms:CreateAlertRules 创建监控告警规则。
arms:UpdateAlertRules 更新监控告警规则。
arms:StartAlertRule 启动监控告警规则。
arms:StopAlertRule 停止监控告警规则。
arms:CreateContact 创建告警联系人。
arms:SearchContact 查询告警联系人。
arms:UpdateContact 更新告警联系人。
arms:CreateContactGroup 创建告警联系人分组。
arms:SearchContactGroup 查询告警联系人分组。
arms:UpdateContactGroup 更新告警联系人分组。