系统运维管理 OOS(CloudOps Orchestration Service)在执行不同模板时所需的云产品OpenAPI权限各不相同。您可以通过OOS的OpenAPI GenerateExecutionPolicy来获取待执行模板所需的权限集合,然后按照模板所需的最小权限集原则为角色赋权;或者直接为OOS管理角色赋予相关云产品的FullAccess权限。本文介绍如何为OOS服务设置访问其他云产品的权限。
说明
如果您需要为RAM用户(子账号)设置访问OOS的权限,请参见帮助文档账户访问控制。
OOS内部基于STS(Security Token Service)临时凭证访问其他云产品的API,您需要授权OOS账号以RamRole的身份访问您资源。
如果在模板中未配置RamRole,则OOS默认使用执行账号的已有权限。
如果模板配置了RamRole参数,OOS将使用您配置的参数扮演角色。
创建OOS扮演的角色
单击完成。
单击关闭。
为OOS角色添加授权策略
具体操作步骤,请参见为RAM角色授权。关键步骤如下:
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择
。在角色页面,单击目标RAM角色操作列的新增授权。
在新增授权面板,为RAM角色添加权限。
授权主体:选择您刚创建的角色,如OOSServiceRole。
权限策略:根据系统运维管理执行模板的实际需要,选择不同的权限。例如AliyunECSFullAccess系统权限可支撑ECS API相关任务的执行。
单击确定。
单击完成。