关于CCE集群default-secret密钥权限变更的说明

发布时间：2026/01/30

为了持续提升云容器引擎（CCE）集群的安全性，遵循权限最小化原则，我们决定对集群内默认创建的密钥default-secret的权限进行调整。

default-secret是CCE在每个命名空间下自动创建的类型为kubernetes.io/dockerconfigjson的密钥。其data字段包含了用于访问SWR的凭据，主要供集群节点从容器镜像服务（SWR）拉取所需的容器镜像。更多信息请参见default-secret。

在此次调整之前，default-secret默认同时拥有镜像拉取和推送权限。为了降低潜在的安全风险，我们将在新版本集群中，将其默认权限收窄为仅允许拉取镜像。

本次变更影响所有升级到或新创建于v1.28.15-r80、v1.29.15-r40、v1.30.14-r40、v1.31.14-r0、v1.32.9-r0、v1.33.7-r0、v1.34.2-r0及以上版本的CCE集群。

具体影响：

无影响操作：集群节点使用default-secret从SWR拉取镜像的正常业务流程不受任何影响。
受影响操作：如果您的业务（如CI/CD流水线、构建Pod等）依赖default-secret来向SWR推送镜像，在集群升级到上述版本后，该操作将会因权限不足而失败。

如果您有业务场景需要继续使用default-secret推送镜像，请按照以下步骤为CCE节点委托CCENodeAgency授予“SWR Admin”策略。

登录统一身份认证服务控制台，在左侧导航栏单击“委托”。在右侧搜索框中，搜索“CCENodeAgency”。在搜索结果中，单击“CCENodeAgency”名称，进入基本信息页。
切换至“授权记录”页签，单击“授权”，搜索“SWR Admin”并勾选。
在右下角单击“下一步”，在“授权 > 设置最小授权范围”页面，选择“所有资源”，并在右下角单击“确定”。在“授权 > 完成”页面，单击“完成”。