全部产品
Search

搜索本产品

    CloudOps Orchestration Service:Buat peran RAM untuk OOS dan berikan izin

    文档中心

    CloudOps Orchestration Service:Buat peran RAM untuk OOS dan berikan izin

    更新时间:Jul 02, 2025

    CloudOps Orchestration Service (OOS) memerlukan izin berbeda untuk mengakses API layanan cloud lainnya saat menjalankan template OOS yang berbeda. Anda dapat memanggil operasi GenerateExecutionPolicy dari OOS untuk mendapatkan serangkaian izin yang diperlukan untuk menjalankan template tertentu. Kemudian, berikan peran RAM izin yang diperlukan untuk menjalankan template OOS berdasarkan prinsip hak istimewa minimal. Anda juga dapat memberikan izin penuh pada layanan cloud terkait kepada peran RAM. Topik ini menjelaskan cara menggunakan Resource Access Management (RAM) untuk mengotorisasi OOS dalam mengakses layanan cloud lainnya.

    Informasi latar belakang

    Catatan

    Jika Anda ingin mengotorisasi pengguna untuk mengakses OOS, Anda dapat melakukan kontrol akses. Untuk informasi lebih lanjut, lihat Kontrol Akses.

    OOS menggunakan token sementara Security Token Service (STS) untuk mengakses API layanan cloud lainnya. Anda harus mengotorisasi OOS untuk mengakses sumber daya Anda dengan mengasumsikan peran RAM.

    • Jika tidak ada peran RAM yang ditentukan dalam template, OOS menggunakan izin akun Alibaba Cloud saat ini.

    • Jika peran RAM ditentukan dalam template, OOS mengasumsikan peran yang ditentukan.

    Prosedur

    Langkah 1: Buat peran RAM yang diasumsikan oleh OOS

    1. Pergi ke halaman Konsol RAM > Identitas > Peran dan klik Create Role.

    2. Di halaman Create Role, atur Principal Type menjadi Cloud Service, atur Principal Name menjadi CloudOps Orchestration Service, lalu klik OK.

      创建角色

      Catatan

      Layanan cloud Alibaba yang tersedia untuk parameter Principal Name bergantung pada konsol RAM.

    3. Dalam kotak dialog yang muncul, tentukan nama peran dan klik OK.

    Langkah 2: Berikan izin kepada peran RAM yang diasumsikan oleh OOS

    Setelah peran RAM dibuat, peran tersebut tidak memiliki izin. Anda perlu memberikan izin kepada peran RAM.

    1. Pergi ke halaman Konsol RAM > Identitas > Peran.

    2. Dalam daftar peran, temukan peran, seperti OOSServiceRole, dan klik Grant Permission di kolom Actions.

    3. Di panel Grant Permission, atur parameter untuk membuat kebijakan untuk peran RAM dan klik Grant permissions.

      授权

      Parameter:

      • Principal: Sistem secara otomatis memilih peran RAM saat ini sebagai default.

      • Policy: Pilih satu atau lebih kebijakan berdasarkan izin yang diperlukan untuk menjalankan template CloudOps Orchestration Service. Dalam contoh ini, kebijakan AliyunECSFullAccess dilampirkan ke peran OOSServiceRole. Ini memungkinkan peran untuk menjalankan tugas terkait API ECS.

    4. Setelah izin diberikan kepada pengguna, klik Close.