本文為您介紹OOS服務關聯角色AliyunServiceRoleForOOSBandwidthScheduler、AliyunServiceRoleForOOSInstanceScheduler、AliyunServiceRoleForOOSExecutionDelivery、AliyunServiceRoleForOOSAppliactionManager的應用情境以及如何刪除服務關聯角色。
背景資訊
OOS服務關聯角色
是OOS為了完成某個執行任務時,需要擷取其他雲端服務的存取權限而提供的RAM使用者。
AliyunServiceRoleForOOSExecutionDelivery是OOS為了完成執行記錄的投遞功能時,需要擷取其他雲端服務的存取權限而提供的RAM使用者。
OOS應用管理服務關聯角色AliyunServiceRoleForOOSAppliactionManager是使用應用管理自動建立或刪除資源時,需要擷取其他雲端服務的存取權限而提供的RAM使用者。更多關於服務關聯角色的資訊請參見 服務關聯角色。
應用情境
當OOS完成如下營運任務需要訪問ECS的某些資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSBandwidthScheduler或AliyunServiceRoleForOOSInstanceScheduler擷取存取權限。
當OOS的執行記錄投遞功能需要訪問Log Service和 Object Storage Service雲端服務的資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSExecutionDelivery擷取存取權限。
當使用OOS應用管理自動建立或刪除CloudMonitor應用分組,需要訪問什麼是CloudMonitor的資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSAppliactionManager擷取存取權限。
AliyunServiceRoleForOOSInstanceScheduler
執行定時開關機操作時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSInstanceScheduler的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRoleForOOSInstanceSchedulerPolicy,OOS通過扮演該角色即可成功調用OpenAPI完成對執行個體的開機和關機。
許可權說明:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
AliyunServiceRoleForOOSBandwidthScheduler
執行頻寬臨時升級時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSBandwidthScheduler的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRoleForOOSBandwidthSchedulerPolicy,OOS通過扮演該角色即可成功調用OpenAPI完成頻寬臨時升級。
許可權說明:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:ModifyInstanceNetworkSpec",
"ecs:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
AliyunServiceRoleForOOSExecutionScheduler
執行定時任務時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSExecutionScheduler的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRolePolicyForOOSExecutionScheduler,OOS通過扮演該角色即可成功調用OpenAPI執行定時任務。
許可權說明:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateSnapshot",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeDisks",
"ecs:DescribeInstances",
"ecs:DescribeInvocationResults",
"ecs:DescribeInvocations",
"ecs:DescribeManagedInstances",
"ecs:DescribeSnapshots",
"ecs:RebootInstance",
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:ModifyInstanceNetworkSpec",
"ecs:AcceptInquiredSystemEvent"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecd:CreateSnapshot",
"ecd:DescribeCloudAssistantStatus",
"ecd:DescribeDesktops",
"ecd:DescribeInvocations",
"ecd:DescribeSnapshots",
"ecd:RebootDesktops"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rds:StartDBInstance",
"rds:StopDBInstance",
"rds:DescribeDBInstances"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "oos:ListInstancePatchStates",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "executionscheduler.oos.aliyuncs.com"
}
}
}
]
AliyunServiceRolePolicyForOOSPatchManager
當使用OOS補丁管理進行掃描或掃描並安裝補丁時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSPatchManager的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRolePolicyForOOSPatchManager,OOS通過扮演該角色完成補丁掃描或安裝。
許可權說明:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateSnapshot",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeDisks",
"ecs:DescribeInstances",
"ecs:DescribeInvocationResults",
"ecs:DescribeInvocations",
"ecs:DescribeManagedInstances",
"ecs:DescribeSnapshots",
"ecs:RebootInstance",
"ecs:RunCommand"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecd:CreateSnapshot",
"ecd:DescribeCloudAssistantStatus",
"ecd:DescribeDesktops",
"ecd:DescribeInvocations",
"ecd:DescribeSnapshots",
"ecd:RebootDesktops",
"ecd:RunCommand"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"oos:ListInstancePatchStates"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "patchmanager.oos.aliyuncs.com"
}
}
}
]
}
AliyunServiceRoleForOOSExecutionDelivery
OOS執行記錄投遞功能需要訪問Log Service和Object Storage Service雲端服務的資源時,可通過自動建立的服務關聯角色AliyunServiceRoleForOOSExecutionDelivery擷取存取權限。
許可權說明:
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:PutObject",
"oss:GetBucketInfo",
"log:GetProject",
"log:GetLogStore",
"log:CreateLogStore",
"log:PostLogStoreLogs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "executiondelivery.oos.aliyuncs.com"
}
}
}
]
}
AliyunServiceRoleForOOSApplicationManager
當使用OOS自動建立或刪除CloudMonitor應用分組時,需要訪問什麼是CloudMonitor的資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSApplicationManager擷取存取權限。
許可權說明:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cms:CreateDynamicTagGroup",
"cms:DescribeDynamicTagRuleList",
"cms:DescribeMonitorGroups",
"cms:DeleteDynamicTagGroup"
],
"Resource": "*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "applicationmanager.oos.aliyuncs.com"
}
}
}
],
"Version": "1"
}
AliyunServiceRoleForOOSSystemEventOperator
接受並授權執行系統事件操作時,如果角色不存在,OOS會自動建立一個名稱為 AliyunServiceRoleForOOSSystemEventOperator的服務關聯角色,並且該角色被授權的權限原則為 AliyunServiceRolePolicyForOOSSystemEventOperator,OOS通過扮演該角色即可成功調用OpenAPI完成接受並授權執行系統事件操作。
許可權說明:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:AcceptInquiredSystemEvent",
"ecs:StopInstance",
"ecs:DescribeInstances",
"ecs:StartInstance"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "systemeventoperator.oos.aliyuncs.com"
}
}
}
]
}
刪除服務關聯角色
如果您需要刪除服務關聯角色AliyunServiceRoleForOOSBandwidthScheduler、AliyunServiceRoleForOOSInstanceScheduler,需先取消依賴這個服務關聯角色的OOS執行。而刪除AliyunServiceRoleForOOSExecutionDelivery、AliyunServiceRoleForOOSAppliactionManager角色則可以直接刪除。
以下為刪除AliyunServiceRoleForOOSExecutionDelivery角色的樣本:
如果您使用了OOS執行投遞功能,出於安全考慮,需要刪除OOS服務關聯角色AliyunServiceRoleForOOSExecutionDelivery,則需要先明確刪除後的影響:當刪除AliyunServiceRoleForOOSExecutionDelivery後,當前帳號下的OOS執行記錄將無法投遞到OOS及SLS中。
登入RAM控制台,在左側導覽列中單擊角色。
在角色頁面的搜尋方塊中,輸入AliyunServiceRoleForOOSExecutionDelivery,自動搜尋到名稱為AliyunServiceRoleForOOSExecutionDelivery的RAM角色。
在右側操作列,單擊刪除。
在刪除RAM角色對話方塊中,單擊確定。
5. 刪除服務關聯角色具體操作請參考刪除服務關聯角色文檔。
常見問題
為什麼RAM使用者無法自動建立OOS服務關聯角色AliyunServiceRoleForOOSExecutionDelivery?
您需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForOOSExecutionDelivery。因此,在RAM使用者無法自動建立AliyunServiceRoleForOOSExecutionDelivery時,您需為其添加以下權限原則。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主帳號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"executiondelivery.oos.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}