更新时间:2026-03-24 GMT+08:00
禁用集群中静态存储的临时凭据说明
当前CCE对集群中使用的凭据来源进行了安全加固升级,不再依赖集群中通过Secret形式静态存储的临时凭据,您可以在集群中将其禁用以提升集群安全性。用于存储临时凭据的Secret如下:
- paas.elb、paas.aksk:默认插件凭证,该Secret的data内容是临时AK/SK数据,部分插件在未配置自定义委托时会使用它作为IAM凭证访问其他云服务。
- node-agency-cred:节点凭证,该Secret的data内容是临时AK/SK数据,节点上安装的系统组件默认使用该凭证。
- default-secret:默认镜像访问凭证,该Secret的data内容是SWR临时登录指令,用于SWR的私有镜像拉取。
禁用静态存储的临时凭据仅支持v1.28.15-r90、v1.29.15-r50、v1.30.14-r50、v1.31.14-r10、v1.32.9-r10、v1.33.7-r10、v1.34.3-r0及以上版本的集群。
注意事项
- 禁用paas.elb、paas.aksk注意事项
集群中所有需要访问云服务的插件已配置自定义委托,且具备相应的委托权限(详情请参见插件自定义委托说明),否则禁用该Secret会导致插件功能异常。
- 禁用node-agency-cred注意事项
已为每个节点/节点池配置委托,且委托至少具备cce:node:get、cce::assumeAgencyForPodIdentity权限,否则禁用该Secret会导致节点安装、运行异常。
- 禁用default-secret注意事项
需确认集群中的工作负载不使用default-secret作为镜像拉取凭证(配置了镜像免密下载或者使用自定义镜像拉取凭证),否则禁用default-secret后可能会导致镜像拉取失败。
禁用临时凭据操作指导
- 登录CCE控制台。
- 在左侧导航栏中选择“配置中心”,在到“配置概览”页签中找到“集群配置”。
- 选择对应的临时凭据进行关闭。
