在您开通弹性容器实例时,需要授予名称AliyunECIContainerGroupRole的系统默认角色给服务账号,当且仅当该角色被正确授予后,弹性容器实例才能正常地调用相关服务(ECS、VPC、CR、Log、SLB等)。
角色授权步骤
AliyunECIContainerGroupRole角色的权限内容
默认角色AliyunECIContainerGroupRole包含的主要权限信息如下。
ECS 相关权限
| 权限名称 (Action) | 权限说明 |
| ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限 |
| ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限 |
| ecs:CreateNetworkInterface | 创建弹性网卡(ENI) |
| ecs:DescribeNetworkInterfaces | 查询弹性网卡(ENI) |
| ecs:AttachNetworkInterface | 挂载弹性网卡(ENI) |
| ecs:DetachNetworkInterface | 卸载弹性网卡(ENI) |
| ecs:DeleteNetworkInterface | 删除弹性网卡(ENI) |
| ecs:DescribeSecurityGroups | 查询安全组信息 |
VPC 相关权限
| 权限名称 (Action) | 权限说明 |
| vpc:DescribeVSwitches | 查询VPC中虚拟交换机资源信息 |
| vpc:DescribeVpcs | 查询VPC信息 |
| vpc:AssociateEipAddress | EIP绑定云产品实例上 |
| vpc:UnassociateEipAddress | EIP解绑云产品实例 |
| vpc:DescribeEipAddresses | 查询EIP地址 |
| vpc:AllocateEipAddress | 申请弹性公网IP(EIP) |
| vpc:ReleaseEipAddress | 释放EIP实例 |
| vpc:AddCommonBandwidthPackageIp | 添加EIP到共享带宽中 |
| vpc:RemoveCommonBandwidthPackageIp | 移除共享带宽实例中的EIP |
镜像仓库 相关权限
| 权限名称 (Action) | 权限说明 |
| cr:Get* | 查询镜像信息 |
| cr:List* | 查询镜像信息 |
| cr:PullRepository | 拉取镜像 |
日志服务 相关权限
| 权限名称(Action) | 权限说明 |
| log:CreateProject | 创建项目 |
| log:GetProject | 查询项目 |
| log:CreateLogStore | 创建日志库 |
| log:GetLogStore | 获取日志库信息 |
| log:CreateMachineGroup | 创建机器组 |
| log:CreateConfig | 创建Logtail配置 |
| log:GetConfig | 获取Logtail配置详细信息 |
| log:GetAppliedConfigs | 查询已应用配置列表 |
| log:CreateIndex | 创建索引 |
负载均衡 相关权限
| 权限名称(Action) | 权限说明 |
| slb:DescribeLoadBalancers | 查询负载均衡实例 |
| slb:RemoveBackendServers | 移除后端服务器 |
