使用容器服务(VKE)时,您需要通过 VKE 服务关联角色(ServiceRoleForVKE)来访问您在其他火山引擎云产品(例如 ECS、CLB、VPC 等)中的资源。本文介绍 VKE 服务关联角色包含的权限。
云服务器相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:Describe* | 查询云服务器(ECS)相关信息。 |
| ecs:Get* | 查询 ECS 运维相关信息。 |
| ecs:CreateInstances | 创建一个或多个 ECS 实例。 |
| ecs:DeleteInstance | 删除一个 ECS 实例。 |
| ecs:DeleteVolume | 删除一个云盘。 |
| ecs:AttachVolume | 挂载云盘到 ECS 实例。 |
| ecs:DetachVolume | 将云盘从 ECS 实例上卸载。 |
| ecs:ExtendVolume | 扩容一个云盘。 |
| ecs:ReplaceSystemVolume | 为一个 ECS 实例重装系统或者更换新的系统盘。 |
| ecs:ModifyInstanceAttribute | 修改指定 ECS 实例的信息。 |
| ecs:StartInstance | 启动一个 ECS 实例。 |
| ecs:StopInstance | 停止一个 ECS 实例。 |
| ecs:BindAssumeRole | 为一个或多个 ECS 实例绑定 IAM 角色。 |
| ecs:UnbindAssumeRole | 为一个或多个 ECS 实例解绑 IAM 角色。 |
| ecs:ListAssumeRoles | 获取一个或多个 ECS 实例上已绑定的 IAM 角色。 |
| ecs:DeleteTags | 为一个或多个 ECS 实例解绑标签。 |
| ecs:DescribeTags | 查询一个或多个 ECS 实例已绑定的标签信息。 |
| ecs:CreateTags | 为一个或多个 ECS 实例绑定标签。 |
| ecs:DeleteInstancesWithEipAddresses | 删除一个绑定了 EIP 的 ECS 实例。 |
| ecs:CreateCommand | 新建一条批量作业自定义命令。 |
| ecs:ModifyCommand | 修改批量作业自定义命令内容。 |
| ecs:DeleteCommand | 删除指定自定义命令。 |
| ecs:DescribeCommands | 查询批量作业命令列表。 |
| ecs:RunCommand | 创建批量作业并在一个或多个 ECS 实例中立即执行。 |
| ecs:InvokeCommand | 创建一个批量作业。 |
| ecs:StopInvocation | 停止一条正在运行中(Running)的批量作业命令。 |
| ecs:DescribeInvocations | 查询批量作业的执行列表和状态。 |
| ecs:DescribeInvocationInstances | 查询批量作业执行对象列表。 |
| ecs:DescribeInvocationResults | 查看一条或多条批量作业的执行结果。 |
| ecs:DescribeCloudAssistantStatus | 查询实例批量作业客户端的安装状态。 |
私有网络相关权限
| 权限名称(Action) | 说明 |
|---|
| vpc:Describe* | 查询私有网络(VPC)相关信息。 |
| vpc:CreateSecurityGroup | 创建新的安全组。 |
| vpc:CreateNetworkInterface | 创建一张辅助网卡。 |
| vpc:CreateRouteTable | 创建一个路由表。 |
| vpc:CreateRouteEntry | 为路由表添加一条自定义路由条目。 |
| vpc:AllocateEipAddress | 申请公网 IP(EIP)。 |
| vpc:AuthorizeSecurityGroupIngress | 为安全组添加一条入方向的规则。 |
| vpc:AuthorizeSecurityGroupEgress | 为安全组添加一条出方向规则。 |
| vpc:RevokeSecurityGroupIngress | 删除一条安全组入方向规则。 |
| vpc:RevokeSecurityGroupEgress | 删除一条出方向安全组规则。 |
| vpc:ModifyNetworkInterfaceAttributes | 修改网卡(主网卡、辅助网卡)的信息。 |
| vpc:AttachNetworkInterface | 将辅助网卡挂载至云服务器。 |
| vpc:DetachNetworkInterface | 从指定的云服务器实例上卸载辅助网卡。 |
| vpc:DeleteSecurityGroup | 删除指定的安全组。 |
| vpc:DeleteNetworkInterface | 删除指定的辅助网卡。 |
| vpc:DeleteRouteTable | 删除一个路由表。 |
| vpc:DeleteRouteEntry | 删除路由条目。 |
| vpc:AssociateRouteTable | 为指定路由表关联子网。 |
| vpc:AssociateEipAddress | 将公网 IP 与云资源绑定。 |
| vpc:DisassociateEipAddress | 将公网 IP 与云资源解绑。 |
| vpc:DisassociateRouteTable | 解除路由表与子网的关联。 |
| vpc:ReleaseEipAddress | 释放公网 IP。 |
| vpc:AddBandwidthPackageIp | 为共享带宽包添加公网 IP 或 IPv6 公网带宽。 |
| vpc:RemoveBandwidthPackageIp | 从共享带宽包移出公网 IP 或 IPv6 公网带宽。 |
| vpc:AssignIPv6Addresses | 为指定网卡(主网卡/辅助网卡)分配 IPv6 私网地址。 |
| vpc:UnassignIPv6Addresses | 为指定网卡删除 IPv6 私网地址。 |
| vpc:TagResources | 为资源添加用户标签。 |
| vpc:UntagResources | 为资源解绑用户标签。 |
| vpc:ListTagsForResources | 查询满足指定条件的标签信息。 |
| vpc:DisassociateTrunkInterface | 为指定 Branch 网卡解绑 Trunk 网卡。 |
| vpc:AssociateTrunkInterface | 关联指定的 Trunk 网卡和 Branch 网卡。 |
负载均衡相关权限
| 权限名称(Action) | 说明 |
|---|
| clb:Describe* | 查询负载均衡(CLB)相关信息。 |
| clb:CreateLoadBalancer | 创建一个负载均衡实例。 |
| clb:CreateRules | 为指定 HTTP/HTTPS 监听器添加转发规则。 |
| clb:CreateServerGroup | 创建一个后端服务器组。 |
| clb:CreateListener | 为指定负载均衡实例创建一个监听。 |
| clb:AddServerGroupBackendServers | 为指定后端服务器组添加后端服务器。 |
| clb:ModifyLoadBalancerAttributes | 修改指定负载均衡实例。 |
| clb:ModifyListenerAttributes | 修改指定监听器。 |
| clb:ModifyServerGroupAttributes | 修改指定后端服务器组。 |
| clb:ModifyRules | 更换指定 HTTP/HTTPS 监听器中转发规则对应的后端服务器组或修改转发规则的描述。 |
| clb:RemoveServerGroupBackendServers | 为指定后端服务器组移除后端服务器。 |
| clb:DeleteLoadBalancer | 删除一个负载均衡实例。 |
| clb:DeleteServerGroup | 删除一个后端服务器组。 |
| clb:DeleteListener | 删除一个监听器。 |
| clb:DeleteRules | 删除指定 HTTP/HTTPS 监听器中的转发规则。 |
| clb:TagResources | 为负载均衡资源添加用户标签。 |
| clb:UntagResources | 为负载均衡资源删除用户标签。 |
| clb:ListTagsForResources | 查询满足指定条件的负载均衡资源的标签信息。 |
应用型负载均衡相关权限
| 权限名称(Action) | 说明 |
|---|
| alb:Describe* | 查询应用型负载均衡(ALB)相关信息。 |
| alb:CreateLoadBalancer | 创建 ALB 实例。 |
| alb:CreateServerGroup | 创建服务器组。 |
| alb:CreateListener | 创建监听器。 |
| alb:CreateRules | 为监听器添加转发规则。 |
| alb:AddServerGroupBackendServers | 为指定服务器组添加后端服务器。 |
| alb:ModifyLoadBalancerAttributes | 修改指定 ALB 实例。 |
| alb:ModifyServerGroupBackendServers | 修改指定服务器组内的后端服务器。 |
| alb:ModifyServerGroupAttributes | 修改指定服务器组详细信息。 |
| alb:ModifyListenerAttributes | 修改指定监听器。 |
| alb:ModifyRules | 修改转发规则。 |
| alb:RemoveServerGroupBackendServers | 删除指定服务器组的后端服务器。 |
| alb:DeleteLoadBalancer | 删除 ALB 实例。 |
| alb:DeleteServerGroup | 删除服务器组。 |
| alb:DeleteListener | 删除监听器。 |
| alb:DeleteRules | 删除转发规则。 |
| alb:TagResources | 为 ALB 资源添加用户标签。 |
| alb:UntagResources | 为 ALB 资源删除用户标签。 |
NAT 网关相关权限
| 权限名称(Action) | 说明 |
|---|
| natgateway:CreateNatGateway | 创建一个新的 NAT 网关实例。 |
| natgateway:CreateSnatEntry | 创建一条新的 SNAT 规则。 |
| natgateway:Describe* | 查询 NAT 网关相关信息。 |
| natgateway:DeleteNatGateway | 删除指定的 NAT 网关。 |
| natgateway:DeleteSnatEntry | 删除指定的 SNAT 规则。 |
镜像仓库相关权限
| 权限名称(Action) | 说明 |
|---|
| cr:List* | 查询镜像仓库(CR)的相关信息。 |
| cr:Get* | 查询镜像仓库的相关信息。 |
文件存储相关权限
| 权限名称(Action) | 说明 |
|---|
| FileNAS:List* | 查询文件存储(NAS)相关信息。 |
日志服务相关权限
| 权限名称(Action) | 说明 |
|---|
| tls:CreateProject | 创建一个日志项目。 |
| tls:CreateTopic | 创建日志主题。 |
| tls:CreateIndex | 创建索引。 |
| tls:CreateRule | 创建采集配置。 |
| tls:CreateHostGroup | 创建机器组。 |
| tls:Describe* | 查询日志相关信息。 |
| tls:GetLogCollectorConfig | 采集端定时从日志服务中获取采集配置。 |
| tls:LogCollectorHeartbeat | 上报采集端心跳。 |
| tls:PutLogs | 上传日志到指定的日志主题中。 |
| tls:ModifyRule | 修改采集配置。 |
| tls:ApplyRuleToHostGroups | 将采集配置绑定到机器组列表。 |
| tls:DeleteRuleFromHostGroups | 解绑采集配置和机器组列表。 |
| tls:DeleteRule | 删除采集配置。 |
| tls:ModifyIndex | 修改索引配置。 |
对象存储相关权限
| 权限名称(Action) | 说明 |
|---|
| tos:ListBuckets | 列出所有对象存储(TOS)桶。 |
弹性块存储相关权限
| 权限名称(Action) | 说明 |
|---|
| storage_ebs:Describe* | 查询弹性块存储(EBS,又称云盘)相关信息。 |
| storage_ebs:CreateVolume | 创建云盘。 |
| storage_ebs:AttachVolume | 挂载云盘到云服务器。 |
| storage_ebs:DetachVolume | 将云盘从 ECS 实例上卸载。 |
| storage_ebs:ExtendVolume | 扩容一个云盘。 |
| storage_ebs:DeleteVolume | 删除一个按量计费的数据盘。 |
| storage_ebs:CreateTags | 为一个或多个云盘添加标签。 |
| storage_ebs:DeleteTags | 为一个或多个云盘删除用户标签。 |
| storage_ebs:DescribeTags | 查询已绑定标签的云盘。 |
通用看板相关权限
| 权限名称(Action) | 说明 |
|---|
| algalon:List* | 查询通用看板(Algalon)相关信息。 |
| algalon:CreateDatasource | 创建通用看板数据源。 |
| algalon:UpdateDatasource | 更新通用看板数据源。 |
| algalon:DeleteDatasource | 删除通用看板数据源。 |
容器服务相关权限
| 权限名称(Action) | 说明 |
|---|
| vke:List* | 查询容器服务(VKE)相关信息。 |
| vke:CreateAddon | 为指定的集群安装组件。 |
| vke:ListClusters | 查询符合条件的集群详情列表。 |
| vke:ListAddons | 查询符合条件的已安装组件详情列表。 |
| vke:CreateDatasource | 创建容器服务相关通用看板的数据源。 |
| vke:ListDatasources | 获取容器服务相关通用看板的数据源列表。 |
| vke:ForwardKubernetesApi | 代理转发 Kubernetes 原生 API。 |
| vke:DeleteAddon | 从指定集群中卸载指定的组件。 |
| vke:ListKubernetesObservability | 查询容器服务云原生观测功能的相关信息。 |
访问控制相关权限
| 权限名称(Action) | 说明 |
|---|
| iam:List* | 查询访问控制(IAM)相关信息。 |
| iam:CreateRole | 为账户新建一个角色(Role)。 |
| iam:CreatePolicy | 新建一个用户自定义策略。 |
| iam:UpdatePolicy | 更新指定的用户自定义策略。 |
| iam:AttachRolePolicy | 为指定角色添加指定策略。 |
| iam:DetachRolePolicy | 将角色与策略进行解绑。 |
| iam:DeleteRole | 删除指定的角色。 |
| iam:DeletePolicy | 删除指定的自定义策略。 |
| iam:CreateServiceLinkedRole | 为账户新建一个服务关联角色,完成指定服务的跨服务访问授权。 |
云监控相关权限
| 权限名称(Action) | 说明 |
|---|
| Volc_Observe:PutEvents | 上报云服务事件。 |
托管 Prometheus 相关权限
| 权限名称(Action) | 说明 |
|---|
| vmp:RemoteWrite | 将采集到的数据存储至托管 Prometheus(VMP)工作区中。 |
| vmp:ListDatasources | 查询面板数据源列表。 |
| vmp:DeleteDatasource | 删除面板数据源。 |
| vmp:ListDatasource | 查询面板数据源。 |
| vmp:UpdateDatasource | 更新面板数据源。 |
| vmp:CreateDatasource | 创建面板数据源。 |
| vmp:ListWorkspaces | 查询工作区列表。 |
| vmp:CreateWorkspace | 创建工作区。 |
| vmp:GetWorkspace | 获取指定工作区详情。 |
| vmp:QueryMetrics | 查询指标瞬时数据。 |
| vmp:QueryMetricsRange | 查询指标在某个时间范围数据。 |
| vmp:GetSeries | 获取指标时序信息。 |
| vmp:GetLabels | 获取指标时序标签。 |
| vmp:GetLabelValues | 获取指标时序标签值。 |
弹性伸缩相关权限
| 权限名称(Action) | 说明 |
|---|
| auto_scaling:CreateScalingGroup | 创建一个弹性伸缩(Auto Scaling)服务的伸缩组。 |
| auto_scaling:ModifyScalingGroup | 修改指定伸缩组的基本信息和所属子网。 |
| auto_scaling:EnableScalingGroup | 启动指定的伸缩组。 |
| auto_scaling:DisableScalingGroup | 停用指定的伸缩组。 |
| auto_scaling:DeleteScalingGroup | 删除指定的伸缩组。 |
| auto_scaling:DescribeScalingGroups | 获取伸缩组信息。 |
| auto_scaling:CreateScalingConfiguration | 创建一个伸缩配置。 |
| auto_scaling:ModifyScalingConfiguration | 修改指定的伸缩配置。 |
| auto_scaling:EnableScalingConfiguration | 将指定伸缩配置绑定到伸缩组。 |
| auto_scaling:DescribeScalingConfigurations | 查询伸缩配置的信息。 |
| auto_scaling:DescribeScalingInstances | 查询伸缩组中的 ECS 实例信息。 |
| auto_scaling:AttachInstances | 手动添加一个或者多个 ECS 实例到伸缩组。 |
| auto_scaling:DetachInstances | 从伸缩组中移出一个或者多个 ECS 实例。 |
| auto_scaling:RemoveInstances | 删除伸缩组中的 ECS 实例。 |
| auto_scaling:CreateLifecycleHook | 创建生命周期挂钩。 |
| auto_scaling:DescribeLifecycleActivities | 查询生命周期挂钩。 |
| auto_scaling:CompleteLifecycleActivity | 手动结束某一个生命周期活动的挂起状态。 |
| auto_scaling:DescribeScalingActivities | 查询伸缩日志。 |
| auto_scaling:TagResources | 为多个伸缩组添加用户标签。 |
| auto_scaling:UntagResources | 删除伸缩组的用户标签。 |
| auto_scaling:ListTagResources | 查询伸缩组的用户标签。 |
大数据文件存储相关权限
| 权限名称(Action) | 说明 |
|---|
| cfs:ListFs | 查询大数据文件存储(CloudFS)实例列表。 |
| cfs:ListNs | 查询数据湖场景实例中的 Namespace 列表。 |