为OOS服务设置RAM权限
本节介绍如何为OOS服务设置访问其他云产品的权限。如果您需要为用户设置访问OOS的权限,请参见帮助文档账户访问控制。
运维编排服务内部基于STS(Security Token Service)临时凭证访问其他云产品的API,您需要授权OOS账号以RamRole的身份访问您资源。
如果在模板中未配置RamRole,则OOS默认扮演OOSServiceRole角色。
如果模板配置了RamRole参数,OOS以您配置的参数扮演角色。
说明
临时凭证将周期性更新。
OOS所需权限
OOS执行不同模板时需要的云产品OpenAPI权限集合不同,您可通过OOS的OpenAPI GenerateExecutionPolicy来获取待执行模板所需的权限集合,然后以模板所需最小权限集原则赋予给该角色;您也可以直接赋予OOS相关云产品的FullAccess权限给OOS管理角色。
创建OOS扮演的角色
具体操作步骤,请参见创建可信实体为阿里云服务的RAM角色。关键步骤如下:
在创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步。
选择角色类型为普通服务角色,输入角色名称(如果模板中不特殊指定RamRole,OOS默认使用OOSServiceRole),选择受信服务为运维编排服务。
单击完成。
单击关闭。
为OOS角色添加授权策略
具体操作步骤,请参见为RAM角色授权。关键步骤如下:
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择身份管理 > 角色。
在角色页面,单击目标RAM角色操作列的添加权限。
在添加权限面板,为RAM角色添加权限。
被授权主体:选择您刚创建的角色,如OOSServiceRole。
选择权限:根据运维编排服务执行模板的实际需要,选择不同的权限。例如AliyunECSFullAccess系统权限可支撑ECS API相关任务的执行。
单击确定。
单击完成。
