全部產品
Search
文件中心

:為OOS服務設定RAM許可權

更新時間:Aug 14, 2024

CloudOps Orchestration Service (OOS)在執行不同模板時所需的雲產品OpenAPI許可權各不相同。您可以通過OOS的OpenAPI GenerateExecutionPolicy來擷取待執行模板所需的許可權集合,然後按照模板所需的最小許可權集原則為角色賦權;或者直接為OOS管理角色賦予相關雲產品的FullAccess許可權。本文介紹如何為OOS服務設定訪問其他雲產品的許可權。

說明

如果您需要為RAM使用者(子帳號)設定訪問OOS的許可權,請參見協助文檔賬戶存取控制

OOS內部基於STS(Security Token Service)臨時憑證訪問其他雲產品的API,您需要授權OOS帳號以RamRole的身份訪問您資源。

  • 如果在模板中未配置RamRole,則OOS預設使用執行帳號的已有許可權。

  • 如果模板配置了RamRole參數,OOS將使用您配置的參數扮演角色。

建立OOS扮演的角色

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊建立角色

  4. 建立角色頁面,選擇可信實體類型為阿里雲服務,然後單擊下一步

  5. 選擇角色類型為普通服務角色

  6. 輸入角色名稱備忘

  7. 選擇受信服務CloudOps Orchestration Serviceimage

  8. 單擊完成

  9. 單擊關閉

為OOS角色添加授權策略

具體操作步驟,請參見為RAM角色授權。關鍵步驟如下:

  1. 使用阿里雲帳號登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊目標RAM角色操作列的新增授權

  4. 新增授權面板,為RAM角色添加許可權。

    1. 授權主體:選擇您剛建立的角色,如OOSServiceRole

    2. 權限原則:根據CloudOps Orchestration Service執行模板的實際需要,選擇不同的許可權。例如AliyunECSFullAccess系統許可權可支撐ECS API相關任務的執行。p494986

  5. 單擊確定

  6. 單擊完成