系统运维管理 OOS(CloudOps Orchestration Service)在执行不同模板时所需的云产品OpenAPI权限各不相同。您可以通过OOS的OpenAPI GenerateExecutionPolicy来获取待执行模板所需的具体权限,然后按照模板所需的最小权限集原则为角色赋权,或者为OOS管理角色赋予其他云产品的FullAccess权限。本文介绍如何为OOS服务设置访问其他云产品的权限。
背景信息
如果您需要为RAM用户(子账号)设置访问OOS的权限,请参见账户访问控制。
OOS内部基于STS(Security Token Service)临时凭证来访问其他云产品的API,您需要授权OOS一个RAM角色,以RamRole的身份访问您资源。
如果在模板中未配置RamRole,则OOS默认使用执行账号的已有权限。
如果模板配置了RamRole参数,OOS将使用您配置的参数扮演角色。
操作步骤
步骤一:创建OOS扮演的RAM角色
在创建角色页面,信任主体类型选择为云服务,信任主体名称选择为系统运维管理,然后单击确定。
信任主体名称中可以选择的阿里云服务请以控制台界面显示为准。
在弹出的对话框中,设置角色名称,单击确定。
步骤二:为OOS扮演的RAM角色授权
创建成功的RAM角色默认没有任何权限,您需要为该RAM角色授权。
进入RAM访问控制台>身份管理>角色页面。
在角色列表中,找到已创建的OOS角色(例如
OOSServiceRole),单击对应操作列的新增授权。在新增授权面板,配置相关参数为RAM角色添加权限策略,然后单击确认新增授权。
主要参数说明:
授权主体:系统会自动默认选择当前的RAM角色(即OOS服务角色)。
权限策略:根据系统运维管理执行模板的实际需要,选择不同的权限。例如AliyunECSFullAccess系统权限可支撑ECS API相关任务的执行。
OOS角色新增授权成功后,单击关闭。
- 本页导读 (1)
- 背景信息
- 操作步骤
- 步骤一:创建OOS扮演的RAM角色
- 步骤二:为OOS扮演的RAM角色授权