快速完成 STAROps 权限配置

更新时间:
复制 MD 格式

本文提供 STAROps 常见场景的快速配置路径,帮助 RAM 用户尽快完成授权并验证可用性。

如果您还不了解 STAROps 的权限模型,建议先阅读权限配置。本文只给出最短配置路径,不展开所有权限原理。

选择你的使用场景

快速跑通:STAROps 全量操作权限

快速验证或开发测试环境中,可以先给 RAM 用户授予 STAROps 全量操作权限,再完成 ram:PassRole 配置。该策略只用于快速跑通,不建议作为生产环境的长期策略。生产环境请按《STAROps 自定义权限策略最佳实践》拆分为管理、对话、只读、长期任务等精细化策略。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "starops:*",
      "Resource": "*"
    }
  ]
}

使用场景

需要配置的权限

建议阅读

使用系统内置员工发起会话

RAM 用户的 STAROps 使用权限,以及必要的数据查看权限

本文"场景一"

使用服务角色创建自定义数字员工

RAM 用户操作权限、对服务角色的 PassRole、服务角色内置数据读取权限

本文"场景二"

创建长期任务

Mission 操作权限、产物查看权限、数字员工运行权限

本文"场景三"

只读查看与审计

数字员工、会话、任务、报告的只读权限

本文"场景四"

需要执行云产品更新操作

RAM 用户操作权限、对自定义 Role 的 PassRole、云产品操作权限

《数字员工权限配置》

场景一:使用系统内置员工

系统内置员工适合快速体验、受限问答和轻量查询。内置员工没有独立绑定客户 RAM Role,通常继承当前使用者权限,并受到 STAROps 产品内置能力边界限制。

配置目标

配置后,RAM 用户可以:

  • 查看可用的系统内置员工。

  • 发起智能会话。

  • 查看自己的会话记录和结果。

  • 按需在数据源控制台核验数据。

配置步骤

  1. 使用主账号或 RAM 管理员登录 RAM 控制台。

  2. 为目标 RAM 用户创建或选择一条 STAROps 使用策略。快速验证时可使用上文"STAROps 全量操作权限";生产环境建议按使用场景精细化授权。

  3. 授予以下类型权限:

    • 查看数字员工:例如 GetDigitalEmployeeListDigitalEmployees

    • 发起和查看会话:例如 CreateChatCreateThreadGetThreadGetThreadDataListThreads

    • 查看产物:例如 GetArtifactListArtifacts

  4. 如果希望用户能在控制台自行核验数据,为该 RAM 用户授予目标数据源的只读权限,例如 SLS 查询权限、CMS/ARMS 只读权限等。

  5. 使用该 RAM 用户登录 STAROps,选择系统内置员工发起会话。

注意事项

  • 使用系统内置员工通常不需要为员工单独配置 RAM Role。

  • 使用系统内置员工通常不需要给 RAM 用户配置 ram:PassRole

  • 系统内置员工能力受限,不适合作为可配置 MCP、AliyunCLI 或复杂企业集成的专属员工。

场景二:创建并使用自定义数字员工

自定义数字员工适合按业务线创建专属运维专家,或需要接入 Skill、MCP、AliyunCLI 等扩展能力的场景。首次配置时,建议优先选择服务角色 ServiceRoleForCloudMonitor,让数字员工快速获得云监控 2.0 场景的数据读取权限。

配置目标

配置后,RAM 用户可以:

  • 创建或更新自定义数字员工。

  • 将服务角色 ServiceRoleForCloudMonitor 绑定到数字员工。

  • 与该数字员工发起会话。

  • 让数字员工读取授权范围内的日志、指标、应用监控等数据。

配置步骤

  1. 确认账号中可以选择服务角色。

    • 在创建数字员工页面,RAM 角色类型选择"服务角色"。

    • RAM 角色 ARN 选择 ServiceRoleForCloudMonitor。

    • 该角色对应 RAM 角色 AliyunServiceRoleForCloudMonitor。

  2. 给 RAM 用户授予数字员工操作权限。

    • 创建、查看、更新、删除数字员工。

    • 发起和查看会话。

    • 管理 Skill、MCP、工具配置,按职责选择是否授权。

  3. 给 RAM 用户授予 ram:PassRole

    • Resource 指定到服务角色 AliyunServiceRoleForCloudMonitor。

    • Condition 建议通过 acs:Service 限定只能传递给 STAROps 相关服务。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "ram:PassRole",
          "Resource": "acs:ram::*:role/aliyunserviceroleforcloudmonitor",
          "Condition": {
            "StringEquals": {
              "acs:Service": [
                "operation-platform.aliyuncs.com",
                "cloudmonitor.aliyuncs.com"
              ]
            }
          }
        }
      ]
    }
  4. 创建数字员工并绑定服务角色。

    • 在 STAROps 控制台进入数字员工管理页面。

    • 创建数字员工,填写 ID、显示名称、RAM 角色类型和 RAM 角色 ARN。

    • 按需配置默认规则、Skill、MCP 服务或工具策略。

  5. 发起会话验证。

    • 让数字员工查询目标工作空间、日志或云资源。

    • 同时使用 RAM 用户在对应控制台核验结果。

注意事项

  • ram:PassRole 只控制用户能否把服务角色交给 STAROps 使用,不决定数字员工能访问什么数据。

  • 服务角色 ServiceRoleForCloudMonitor 主要提供云监控 2.0 场景的数据读取权限,适合查询、诊断、巡检和报告生成。

  • 该服务角色不包含修改云产品配置、变更资源状态等权限。

  • 如果数字员工需要执行云产品更新或资源变更,请改用自定义角色,并按云产品、资源范围和 Action 配置最小权限。

  • Role 信任策略允许 STAROps 服务扮演角色,不代表所有 RAM 用户都能传递这个角色。

场景三:创建长期任务

长期任务适合周期性巡检、告警分析、报告生成和持续守护等场景。

配置目标

配置后,RAM 用户可以:

  • 创建和管理长期任务。

  • 查看任务状态、任务明细和产物报告。

  • 让长期任务使用指定数字员工持续执行。

配置步骤

  1. 给 RAM 用户授予 Mission 操作权限。

    • 创建长期任务。

    • 查看长期任务列表和详情。

    • 更新或删除长期任务。

    • 查看任务明细和执行状态。

  2. 给 RAM 用户授予产物查看权限。

    • 查看报告、会话、任务输出等 STAROps 资源。

  3. 确认所选数字员工具备运行时权限。

    • 使用系统内置员工时,确认用户自身权限和产品能力边界满足任务需要。

    • 使用自定义数字员工时,确认绑定 RAM Role 已具备所需数据和资源权限。

    • 如使用自定义数字员工,确认 RAM 用户具备目标 RAM Role 的 ram:PassRole 权限。

  4. 创建长期任务并执行一次验证。

注意事项

  • Mission 权限只控制用户能否创建和管理长期任务。

  • 长期任务执行时仍由数字员工完成,运行权限来自所选数字员工。

  • 如果长期任务提示权限不足,请优先检查数字员工 RAM Role,而不是只检查 RAM 用户的 Mission 权限。

场景四:只读查看与审计

只读查看适合安全审计、管理复盘、成本和产物检查等场景。

配置目标

配置后,RAM 用户可以:

  • 查看数字员工列表和详情。

  • 查看会话记录和会话数据。

  • 查看长期任务列表、详情、执行状态。

  • 查看报告和产物。

配置后,RAM 用户不能:

  • 创建、修改、删除数字员工或长期任务。

  • 发起会话。

  • 传递 RAM Role。

配置要点

  • 授予数字员工只读权限。

  • 授予会话只读权限。

  • 授予长期任务只读权限。

  • 授予报告和产物只读权限。

  • 不授予 Create、Update、Delete 类 Action。

  • 不授予 ram:PassRole

只读审计人员可以查看 STAROps 资源,但不一定能在 SLS、CMS、ARMS 控制台查看原始数据。如果审计流程需要核验原始数据,需要另行授予数据源只读权限。

配置完成后的验证方法

完成授权后,建议按以下顺序验证:

验证项

验证方法

可能的失败原因

能否打开数字员工列表

登录 STAROps,进入数字员工页面

缺少数字员工 List/Get 权限

能否发起会话

选择数字员工并发送问题

缺少会话 Create/Get 权限,或数字员工不可用

能否读取目标数据

让数字员工查询指定 Workspace、日志或资源

数字员工 RAM Role 缺数据权限,或用户使用内置员工时自身权限不足

能否创建长期任务

创建一次测试长期任务

缺少 Mission Create/Update 权限

能否查看报告

打开任务报告或会话产物

缺少 Artifact Get/List 权限

能否绑定自定义 Role

创建或更新自定义数字员工

缺少 ram:PassRole,或 Role 信任策略不正确