Gunakan RAM untuk mengontrol akses akun Alibaba Cloud ke OOS - CloudOps Orchestration Service

Topik ini menjelaskan cara menggunakan Resource Access Management (RAM) untuk mengontrol akses akun Alibaba Cloud ke CloudOps Orchestration Service (OOS). Untuk menerapkan kontrol akses, Anda harus membuat pengguna atau grup RAM dan memberikan izin yang diperlukan kepada mereka.

Skenario

RAM adalah layanan kontrol akses sumber daya yang disediakan oleh Alibaba Cloud. Berikut adalah cara menggunakan RAM untuk menerapkan kontrol akses di OOS:

OOS administrator: Anda dapat membuat grup administrator CloudOps Orchestration Service dan memberikan izin akses penuh ke CloudOps Orchestration Service kepada grup tersebut. Dengan demikian, anggota grup ini dapat membuat, memodifikasi, dan mengeksekusi template.
Pengembang Template: Grup pengembang template memerlukan izin untuk memodifikasi template. Anda dapat melampirkan kebijakan ke grup ini agar anggotanya dapat memanggil operasi API seperti CreateTemplate dan UpdateTemplate.
Eksekusi Template: Beberapa pengguna hanya perlu memiliki izin untuk mengeksekusi template OOS. Dengan cara ini, pengguna tersebut hanya dapat mengeksekusi template tanpa bisa membuat atau memodifikasinya.
Otentikasi Template: Anda dapat membatasi template agar hanya dapat dieksekusi oleh pengguna atau grup tertentu.

Berikan Izin PassRole kepada Pengguna RAM

Catatan

Setelah mengonfigurasi dan memberikan izin kepada peran RAM untuk OOS, CloudOps Orchestration Service dapat mengasumsikan peran RAM tersebut. Namun, ini tidak berarti bahwa pengguna RAM dari CloudOps Orchestration Service dapat mengasumsikan peran tersebut. Anda perlu memberikan izin PassRole kepada pengguna RAM dan peran RAM. Dengan cara ini, pengguna RAM dapat mengasumsikan peran RAM melalui CloudOps Orchestration Service.

Untuk mengizinkan pengguna RAM mengasumsikan semua peran RAM dari CloudOps Orchestration Service, buat kebijakan berikut dan lampirkan ke pengguna RAM:

Kebijakan untuk memberikan izin PassRole kepada pengguna RAM

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:PassRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": "oos.aliyuncs.com"
        }
      }
    }
  ]
}

Untuk alasan keamanan, Anda mungkin perlu membatasi pengguna RAM agar hanya dapat mengasumsikan peran RAM tertentu untuk mengelola CloudOps Orchestration Service, seperti peran default OOSServiceRole. Dalam hal ini, buat kebijakan berikut dan lampirkan ke pengguna RAM:
Kebijakan yang membatasi pengguna RAM
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ram:PassRole",
      "Resource": "acs:ram::{parent_uid}:role/OOSServiceRole"
    }
  ]
}
```

Catatan Penggunaan:

Jika peran RAM, seperti peran default OOSServiceRole, digunakan secara internal dalam template dan tidak perlu ditentukan sebagai parameter input untuk eksekusi template, Anda tidak perlu memberikan izin PassRole kepada pengguna RAM untuk mengeksekusi template. Namun, Anda harus memberikan izin PassRole kepada pengguna RAM untuk membuat atau memodifikasi template.
Jika peran RAM diperoleh secara dinamis dengan menggunakan parameter input untuk eksekusi template dan template tidak menentukan peran RAM yang diperlukan, Anda tidak perlu memberikan izin PassRole kepada pengguna RAM untuk membuat atau memodifikasi template. Namun, Anda harus memberikan izin PassRole kepada pengguna RAM untuk mengeksekusi template sehingga pengguna RAM dapat mengasumsikan peran RAM yang ditentukan.
Dalam contoh kode sebelumnya, {parent_uid} menunjukkan ID akun Alibaba Cloud Anda.

Berikan Izin kepada Pengguna RAM

Langkah 1: Buat Kebijakan Otorisasi Kustom

Masuk ke Konsol RAM.
Di panel navigasi kiri, pilih Permissions > Policies.
Di halaman Kebijakan, klik Create Policy.

Klik JSON, masukkan kebijakan kustom, lalu klik OK.

Contoh Kebijakan 1: Memberikan izin kepada pengguna RAM untuk mengeksekusi template tetapi tidak memodifikasi template.

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oos:List*",
                "oos:Get*",
                "oos:StartExecution",
                "oos:CancelExecution",
                "oos:NotifyExecution"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Contoh Kebijakan 2: Memberikan izin kepada pengguna RAM untuk membuat dan memodifikasi template tetapi tidak mengeksekusi template.

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oos:List*",
                "oos:Get*",
                "oos:CreateTemplate",
                "oos:UpdateTemplate",
                "oos:ValidateTemplateContent"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Contoh Kebijakan 3: Memberikan izin kepada pengguna RAM sebagai administrator CloudOps Orchestration Service.

{
    "Version": "1",
    "Statement": [
        {
            "Action": "oos:*",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": "oos.aliyuncs.com"
                }
            }
        }
    ]
}

Di kotak dialog Create Policy, masukkan nama dan deskripsi, lalu klik OK.
Setelah kebijakan dibuat, Anda dapat mengklik Policy Details untuk melihat detailnya. Anda juga dapat mengklik Modify Policy Document untuk memodifikasi kebijakan.

Langkah 2: Berikan Izin kepada Pengguna RAM

Di panel navigasi kiri, pilih Identities > Users.
Temukan pengguna RAM dan klik Add Permissions pada kolom Actions.
Di bagian Permissions, pilih satu atau beberapa kebijakan sistem atau kebijakan kustom.
Klik Grant Permission.