本文提供 STAROps 常见场景的快速配置路径,帮助 RAM 用户尽快完成授权并验证可用性。
如果您还不了解 STAROps 的权限模型,建议先阅读权限配置。本文只给出最短配置路径,不展开所有权限原理。
选择你的使用场景
快速跑通:STAROps 全量操作权限
快速验证或开发测试环境中,可以先给 RAM 用户授予 STAROps 全量操作权限,再完成 ram:PassRole 配置。该策略只用于快速跑通,不建议作为生产环境的长期策略。生产环境请按《STAROps 自定义权限策略最佳实践》拆分为管理、对话、只读、长期任务等精细化策略。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "starops:*",
"Resource": "*"
}
]
}使用场景 | 需要配置的权限 | 建议阅读 |
使用系统内置员工发起会话 | RAM 用户的 STAROps 使用权限,以及必要的数据查看权限 | 本文"场景一" |
使用服务角色创建自定义数字员工 | RAM 用户操作权限、对服务角色的 PassRole、服务角色内置数据读取权限 | 本文"场景二" |
创建长期任务 | Mission 操作权限、产物查看权限、数字员工运行权限 | 本文"场景三" |
只读查看与审计 | 数字员工、会话、任务、报告的只读权限 | 本文"场景四" |
需要执行云产品更新操作 | RAM 用户操作权限、对自定义 Role 的 PassRole、云产品操作权限 | 《数字员工权限配置》 |
场景一:使用系统内置员工
系统内置员工适合快速体验、受限问答和轻量查询。内置员工没有独立绑定客户 RAM Role,通常继承当前使用者权限,并受到 STAROps 产品内置能力边界限制。
配置目标
配置后,RAM 用户可以:
查看可用的系统内置员工。
发起智能会话。
查看自己的会话记录和结果。
按需在数据源控制台核验数据。
配置步骤
使用主账号或 RAM 管理员登录 RAM 控制台。
为目标 RAM 用户创建或选择一条 STAROps 使用策略。快速验证时可使用上文"STAROps 全量操作权限";生产环境建议按使用场景精细化授权。
授予以下类型权限:
查看数字员工:例如
GetDigitalEmployee、ListDigitalEmployees。发起和查看会话:例如
CreateChat、CreateThread、GetThread、GetThreadData、ListThreads。查看产物:例如
GetArtifact、ListArtifacts。
如果希望用户能在控制台自行核验数据,为该 RAM 用户授予目标数据源的只读权限,例如 SLS 查询权限、CMS/ARMS 只读权限等。
使用该 RAM 用户登录 STAROps,选择系统内置员工发起会话。
注意事项
使用系统内置员工通常不需要为员工单独配置 RAM Role。
使用系统内置员工通常不需要给 RAM 用户配置
ram:PassRole。系统内置员工能力受限,不适合作为可配置 MCP、AliyunCLI 或复杂企业集成的专属员工。
场景二:创建并使用自定义数字员工
自定义数字员工适合按业务线创建专属运维专家,或需要接入 Skill、MCP、AliyunCLI 等扩展能力的场景。首次配置时,建议优先选择服务角色 ServiceRoleForCloudMonitor,让数字员工快速获得云监控 2.0 场景的数据读取权限。
配置目标
配置后,RAM 用户可以:
创建或更新自定义数字员工。
将服务角色 ServiceRoleForCloudMonitor 绑定到数字员工。
与该数字员工发起会话。
让数字员工读取授权范围内的日志、指标、应用监控等数据。
配置步骤
确认账号中可以选择服务角色。
在创建数字员工页面,RAM 角色类型选择"服务角色"。
RAM 角色 ARN 选择 ServiceRoleForCloudMonitor。
该角色对应 RAM 角色 AliyunServiceRoleForCloudMonitor。
给 RAM 用户授予数字员工操作权限。
创建、查看、更新、删除数字员工。
发起和查看会话。
管理 Skill、MCP、工具配置,按职责选择是否授权。
给 RAM 用户授予
ram:PassRole。Resource 指定到服务角色 AliyunServiceRoleForCloudMonitor。
Condition 建议通过
acs:Service限定只能传递给 STAROps 相关服务。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram::*:role/aliyunserviceroleforcloudmonitor", "Condition": { "StringEquals": { "acs:Service": [ "operation-platform.aliyuncs.com", "cloudmonitor.aliyuncs.com" ] } } } ] }创建数字员工并绑定服务角色。
在 STAROps 控制台进入数字员工管理页面。
创建数字员工,填写 ID、显示名称、RAM 角色类型和 RAM 角色 ARN。
按需配置默认规则、Skill、MCP 服务或工具策略。
发起会话验证。
让数字员工查询目标工作空间、日志或云资源。
同时使用 RAM 用户在对应控制台核验结果。
注意事项
ram:PassRole只控制用户能否把服务角色交给 STAROps 使用,不决定数字员工能访问什么数据。服务角色 ServiceRoleForCloudMonitor 主要提供云监控 2.0 场景的数据读取权限,适合查询、诊断、巡检和报告生成。
该服务角色不包含修改云产品配置、变更资源状态等权限。
如果数字员工需要执行云产品更新或资源变更,请改用自定义角色,并按云产品、资源范围和 Action 配置最小权限。
Role 信任策略允许 STAROps 服务扮演角色,不代表所有 RAM 用户都能传递这个角色。
场景三:创建长期任务
长期任务适合周期性巡检、告警分析、报告生成和持续守护等场景。
配置目标
配置后,RAM 用户可以:
创建和管理长期任务。
查看任务状态、任务明细和产物报告。
让长期任务使用指定数字员工持续执行。
配置步骤
给 RAM 用户授予 Mission 操作权限。
创建长期任务。
查看长期任务列表和详情。
更新或删除长期任务。
查看任务明细和执行状态。
给 RAM 用户授予产物查看权限。
查看报告、会话、任务输出等 STAROps 资源。
确认所选数字员工具备运行时权限。
使用系统内置员工时,确认用户自身权限和产品能力边界满足任务需要。
使用自定义数字员工时,确认绑定 RAM Role 已具备所需数据和资源权限。
如使用自定义数字员工,确认 RAM 用户具备目标 RAM Role 的
ram:PassRole权限。
创建长期任务并执行一次验证。
注意事项
Mission 权限只控制用户能否创建和管理长期任务。
长期任务执行时仍由数字员工完成,运行权限来自所选数字员工。
如果长期任务提示权限不足,请优先检查数字员工 RAM Role,而不是只检查 RAM 用户的 Mission 权限。
场景四:只读查看与审计
只读查看适合安全审计、管理复盘、成本和产物检查等场景。
配置目标
配置后,RAM 用户可以:
查看数字员工列表和详情。
查看会话记录和会话数据。
查看长期任务列表、详情、执行状态。
查看报告和产物。
配置后,RAM 用户不能:
创建、修改、删除数字员工或长期任务。
发起会话。
传递 RAM Role。
配置要点
授予数字员工只读权限。
授予会话只读权限。
授予长期任务只读权限。
授予报告和产物只读权限。
不授予 Create、Update、Delete 类 Action。
不授予
ram:PassRole。
只读审计人员可以查看 STAROps 资源,但不一定能在 SLS、CMS、ARMS 控制台查看原始数据。如果审计流程需要核验原始数据,需要另行授予数据源只读权限。
配置完成后的验证方法
完成授权后,建议按以下顺序验证:
验证项 | 验证方法 | 可能的失败原因 |
能否打开数字员工列表 | 登录 STAROps,进入数字员工页面 | 缺少数字员工 List/Get 权限 |
能否发起会话 | 选择数字员工并发送问题 | 缺少会话 Create/Get 权限,或数字员工不可用 |
能否读取目标数据 | 让数字员工查询指定 Workspace、日志或资源 | 数字员工 RAM Role 缺数据权限,或用户使用内置员工时自身权限不足 |
能否创建长期任务 | 创建一次测试长期任务 | 缺少 Mission Create/Update 权限 |
能否查看报告 | 打开任务报告或会话产物 | 缺少 Artifact Get/List 权限 |
能否绑定自定义 Role | 创建或更新自定义数字员工 | 缺少 |