如何為OOS服務設定訪問其他雲產品的許可權 -

CloudOps Orchestration Service (OOS)在執行不同模板時所需的雲產品OpenAPI許可權各不相同。您可以通過OOS的OpenAPI GenerateExecutionPolicy來擷取待執行模板所需的許可權集合，然後按照模板所需的最小許可權集原則為角色賦權；或者直接為OOS管理角色賦予相關雲產品的FullAccess許可權。本文介紹如何為OOS服務設定訪問其他雲產品的許可權。

說明

如果您需要為RAM使用者（子帳號）設定訪問OOS的許可權，請參見協助文檔賬戶存取控制。

OOS內部基於STS（Security Token Service）臨時憑證訪問其他雲產品的API，您需要授權OOS帳號以RamRole的身份訪問您資源。

如果在模板中未配置RamRole，則OOS預設使用執行帳號的已有許可權。
如果模板配置了RamRole參數，OOS將使用您配置的參數扮演角色。

建立OOS扮演的角色

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色頁面，單擊建立角色。
在建立角色頁面，選擇可信實體類型為阿里雲服務，然後單擊下一步。
選擇角色類型為普通服務角色。
輸入角色名稱和備忘。
選擇受信服務為CloudOps Orchestration Service。
單擊完成。
單擊關閉。

為OOS角色添加授權策略

具體操作步驟，請參見為RAM角色授權。關鍵步驟如下：

使用阿里雲帳號登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色頁面，單擊目標RAM角色操作列的新增授權。
在新增授權面板，為RAM角色添加許可權。
1. 授權主體：選擇您剛建立的角色，如OOSServiceRole。
2. 權限原則：根據CloudOps Orchestration Service執行模板的實際需要，選擇不同的許可權。例如AliyunECSFullAccess系統許可權可支撐ECS API相關任務的執行。
單擊確定。
單擊完成。