CloudOps Orchestration Service (OOS)在執行不同模板時所需的雲產品OpenAPI許可權各不相同。您可以通過OOS的OpenAPI GenerateExecutionPolicy來擷取待執行模板所需的許可權集合,然後按照模板所需的最小許可權集原則為角色賦權;或者直接為OOS管理角色賦予相關雲產品的FullAccess許可權。本文介紹如何為OOS服務設定訪問其他雲產品的許可權。
說明
如果您需要為RAM使用者(子帳號)設定訪問OOS的許可權,請參見協助文檔賬戶存取控制。
OOS內部基於STS(Security Token Service)臨時憑證訪問其他雲產品的API,您需要授權OOS帳號以RamRole的身份訪問您資源。
如果在模板中未配置RamRole,則OOS預設使用執行帳號的已有許可權。
如果模板配置了RamRole參數,OOS將使用您配置的參數扮演角色。
建立OOS扮演的角色
單擊完成。
單擊關閉。
為OOS角色添加授權策略
具體操作步驟,請參見為RAM角色授權。關鍵步驟如下:
使用阿里雲帳號登入RAM控制台。
在左側導覽列,選擇
。在角色頁面,單擊目標RAM角色操作列的新增授權。
在新增授權面板,為RAM角色添加許可權。
授權主體:選擇您剛建立的角色,如OOSServiceRole。
權限原則:根據CloudOps Orchestration Service執行模板的實際需要,選擇不同的許可權。例如AliyunECSFullAccess系統許可權可支撐ECS API相關任務的執行。
單擊確定。
單擊完成。