全部產品
Search
文件中心

:OOS服務關聯角色

更新時間:Aug 16, 2024

本文為您介紹OOS服務關聯角色AliyunServiceRoleForOOSBandwidthScheduler、AliyunServiceRoleForOOSInstanceScheduler、AliyunServiceRoleForOOSExecutionDelivery、AliyunServiceRoleForOOSAppliactionManager的應用情境以及如何刪除服務關聯角色。

背景資訊

OOS服務關聯角色

OOS為了完成某個執行任務時,需要擷取其他雲端服務的存取權限而提供的RAM使用者。

AliyunServiceRoleForOOSExecutionDeliveryOOS為了完成執行記錄的投遞功能時,需要擷取其他雲端服務的存取權限而提供的RAM使用者。

OOS應用管理服務關聯角色AliyunServiceRoleForOOSAppliactionManager是使用應用管理自動建立或刪除資源時,需要擷取其他雲端服務的存取權限而提供的RAM使用者。更多關於服務關聯角色的資訊請參見 服務關聯角色

應用情境

OOS完成如下營運任務需要訪問ECS的某些資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSBandwidthScheduler或AliyunServiceRoleForOOSInstanceScheduler擷取存取權限。

OOS的執行記錄投遞功能需要訪問Log ServiceObject Storage Service雲端服務的資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSExecutionDelivery擷取存取權限。

當使用OOS應用管理自動建立或刪除CloudMonitor應用分組,需要訪問什麼是CloudMonitor的資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSAppliactionManager擷取存取權限。

AliyunServiceRoleForOOSInstanceScheduler

執行定時開關機操作時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSInstanceScheduler的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRoleForOOSInstanceSchedulerPolicy,OOS通過扮演該角色即可成功調用OpenAPI完成對執行個體的開機和關機。

許可權說明:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:StartInstance",
                "ecs:StopInstance",
                "ecs:DescribeInstances"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AliyunServiceRoleForOOSBandwidthScheduler

執行頻寬臨時升級時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSBandwidthScheduler的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRoleForOOSBandwidthSchedulerPolicy,OOS通過扮演該角色即可成功調用OpenAPI完成頻寬臨時升級。

許可權說明:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:ModifyInstanceNetworkSpec",
                "ecs:DescribeInstances"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AliyunServiceRolePolicyForOOSPatchManager

當使用OOS補丁管理進行掃描或掃描並安裝補丁時,如果角色不存在,OOS會自動建立一個名稱為AliyunServiceRoleForOOSPatchManager的服務關聯角色,並且該角色被授權的權限原則為AliyunServiceRolePolicyForOOSPatchManager,OOS通過扮演該角色完成補丁掃描或安裝。

許可權說明:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateSnapshot",
                "ecs:DescribeCloudAssistantStatus",
                "ecs:DescribeDisks",
                "ecs:DescribeInstances",
                "ecs:DescribeInvocationResults",
                "ecs:DescribeInvocations",
                "ecs:DescribeManagedInstances",
                "ecs:DescribeSnapshots",
                "ecs:RebootInstance",
                "ecs:RunCommand"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecd:CreateSnapshot",
                "ecd:DescribeCloudAssistantStatus",
                "ecd:DescribeDesktops",
                "ecd:DescribeInvocations",
                "ecd:DescribeSnapshots",
                "ecd:RebootDesktops",
                "ecd:RunCommand"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "oos:ListInstancePatchStates"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "patchmanager.oos.aliyuncs.com"
                }
            }
        }
    ]
}

AliyunServiceRoleForOOSExecutionDelivery

OOS執行記錄投遞功能需要訪問Log ServiceObject Storage Service雲端服務的資源時,可通過自動建立的服務關聯角色AliyunServiceRoleForOOSExecutionDelivery擷取存取權限。

許可權說明:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:PutObject",
        "oss:GetBucketInfo",
        "log:GetProject",
        "log:GetLogStore",
        "log:CreateLogStore",
        "log:PostLogStoreLogs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "executiondelivery.oos.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForOOSApplicationManager

當使用OOS自動建立或刪除CloudMonitor應用分組時,需要訪問什麼是CloudMonitor的資源時,可通過OOS自動建立的服務關聯角色AliyunServiceRoleForOOSApplicationManager擷取存取權限。

許可權說明:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cms:CreateDynamicTagGroup",
                "cms:DescribeDynamicTagRuleList",
                "cms:DescribeMonitorGroups",
                "cms:DeleteDynamicTagGroup"
            ],
            "Resource": "*"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "applicationmanager.oos.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}

AliyunServiceRoleForOOSSystemEventOperator

接受並授權執行系統事件操作時,如果角色不存在,OOS會自動建立一個名稱為 AliyunServiceRoleForOOSSystemEventOperator的服務關聯角色,並且該角色被授權的權限原則為 AliyunServiceRolePolicyForOOSSystemEventOperator,OOS通過扮演該角色即可成功調用OpenAPI完成接受並授權執行系統事件操作。

許可權說明:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:AcceptInquiredSystemEvent",
        "ecs:StopInstance",
        "ecs:DescribeInstances",
        "ecs:StartInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "systemeventoperator.oos.aliyuncs.com"
        }
      }
    }
  ]
}

刪除服務關聯角色

如果您需要刪除服務關聯角色AliyunServiceRoleForOOSBandwidthScheduler、AliyunServiceRoleForOOSInstanceScheduler,需先取消依賴這個服務關聯角色的OOS執行。而刪除AliyunServiceRoleForOOSExecutionDelivery、AliyunServiceRoleForOOSAppliactionManager角色則可以直接刪除。

以下為刪除AliyunServiceRoleForOOSExecutionDelivery角色的樣本:

說明

如果您使用了OOS執行投遞功能,出於安全考慮,需要刪除OOS服務關聯角色AliyunServiceRoleForOOSExecutionDelivery,則需要先明確刪除後的影響:當刪除AliyunServiceRoleForOOSExecutionDelivery後,當前帳號下的OOS執行記錄將無法投遞到OOSSLS中。

  1. 登入RAM控制台,在左側導覽列中單擊角色

  2. 角色頁面的搜尋方塊中,輸入AliyunServiceRoleForOOSExecutionDelivery,自動搜尋到名稱為AliyunServiceRoleForOOSExecutionDelivery的RAM角色。

  3. 在右側操作列,單擊刪除。

  4. 在刪除RAM角色對話方塊中,單擊確定。

5. 刪除服務關聯角色具體操作請參考刪除服務關聯角色文檔。

常見問題

為什麼RAM使用者無法自動建立OOS服務關聯角色AliyunServiceRoleForOOSExecutionDelivery?

您需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForOOSExecutionDelivery。因此,在RAM使用者無法自動建立AliyunServiceRoleForOOSExecutionDelivery時,您需為其添加以下權限原則。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主帳號ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "executiondelivery.oos.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}