为OOS服务设置RAM权限

系统运维管理 OOS(CloudOps Orchestration Service)在执行不同模板时所需的云产品OpenAPI权限各不相同。您可以通过OOS的OpenAPI GenerateExecutionPolicy来获取待执行模板所需的权限集合,然后按照模板所需的最小权限集原则为角色赋权;或者直接为OOS管理角色赋予相关云产品的FullAccess权限。本文介绍如何为OOS服务设置访问其他云产品的权限。

说明

如果您需要为RAM用户(子账号)设置访问OOS的权限,请参见帮助文档账户访问控制

OOS内部基于STS(Security Token Service)临时凭证访问其他云产品的API,您需要授权OOS账号以RamRole的身份访问您资源。

  • 如果在模板中未配置RamRole,则OOS默认使用执行账号的已有权限。

  • 如果模板配置了RamRole参数,OOS将使用您配置的参数扮演角色。

创建OOS扮演的角色

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击创建角色

  4. 创建角色页面,选择可信实体类型为便宜云服务器服务,然后单击下一步

  5. 选择角色类型为普通服务角色

  6. 输入角色名称备注

  7. 选择受信服务系统运维管理image

  8. 单击完成

  9. 单击关闭

为OOS角色添加授权策略

具体操作步骤,请参见为RAM角色授权。关键步骤如下:

  1. 使用便宜云服务器账号登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击目标RAM角色操作列的新增授权

  4. 新增授权面板,为RAM角色添加权限。

    1. 授权主体:选择您刚创建的角色,如OOSServiceRole

    2. 权限策略:根据系统运维管理执行模板的实际需要,选择不同的权限。例如AliyunECSFullAccess系统权限可支撑ECS API相关任务的执行。p494986

  5. 单击确定

  6. 单击完成

    http://www.vxiaotou.com