Topik ini menjelaskan skenario penggunaan peran terkait layanan untuk Layanan Orkestrasi CloudOps (OOS), termasuk AliyunServiceRoleForOOSBandwidthScheduler, AliyunServiceRoleForOOSInstanceScheduler, AliyunServiceRoleForOOSExecutionDelivery, dan AliyunServiceRoleForOOSAppliactionManager. Topik ini juga mencakup langkah-langkah untuk menghapus peran terkait layanan tersebut.
Informasi latar belakang
Peran terkait layanan untuk OOS.
AliyunServiceRoleForOOSInstanceScheduler
AliyunServiceRoleForOOSBandwidthScheduler
Peran RAM ini disediakan untuk OOS agar dapat memperoleh izin akses ke layanan Alibaba Cloud lainnya untuk mengeksekusi tugas tertentu.
Peran AliyunServiceRoleForOOSExecutionDelivery adalah peran RAM yang disediakan untuk OOS agar dapat memperoleh izin akses ke layanan Alibaba Cloud lainnya untuk menyampaikan catatan eksekusi.
Peran AliyunServiceRoleForOOSApplicationManager adalah peran RAM yang disediakan untuk OOS guna mendapatkan izin akses ke layanan Alibaba Cloud lainnya untuk membuat atau menghapus sumber daya. Untuk informasi lebih lanjut, lihat Peran terkait layanan.
Skema
Untuk mengakses sumber daya Elastic Compute Service (ECS) untuk menyelesaikan tugas operasi berikut dalam OOS, Anda dapat menggunakan peran AliyunServiceRoleForOOSBandwidthScheduler atau AliyunServiceRoleForOOSInstanceScheduler yang secara otomatis dibuat oleh OOS untuk mendapatkan izin akses pada ECS:
Untuk mengakses sumber daya dari Layanan Log Sederhana dan Object Storage Service (OSS) untuk menyampaikan catatan eksekusi OOS, Anda dapat menggunakan peran AliyunServiceRoleForOOSExecutionDelivery yang secara otomatis dibuat oleh OOS untuk mendapatkan izin akses pada Layanan Log Sederhana dan OSS.
Untuk mengakses sumber daya CloudMonitor untuk secara otomatis membuat atau menghapus grup aplikasi CloudMonitor, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSAppliactionManager untuk mendapatkan izin akses pada CloudMonitor.OOS
AliyunServiceRoleForOOSInstanceScheduler
Jika peran RAM yang diperlukan untuk memulai atau mematikan instance sesuai jadwal tidak ada, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSInstanceScheduler. Selain itu, OOS menambahkan kebijakan AliyunServiceRoleForOOSInstanceSchedulerPolicy ke peran terkait layanan tersebut. OOS dapat mengasumsikan peran ini untuk memanggil operasi API terkait guna memulai atau mematikan instance sesuai jadwal.
Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}AliyunServiceRoleForOOSBandwidthScheduler
Jika peran RAM yang diperlukan untuk meningkatkan bandwidth instance sementara tidak ada, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSBandwidthScheduler. Selain itu, OOS menambahkan kebijakan AliyunServiceRoleForOOSBandwidthSchedulerPolicy ke peran terkait layanan tersebut. OOS dapat mengasumsikan peran ini untuk memanggil operasi API terkait guna meningkatkan bandwidth sementara.
Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:ModifyInstanceNetworkSpec",
"ecs:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}AliyunServiceRoleForOOSExecutionScheduler
Jika peran RAM yang diperlukan untuk mengeksekusi tugas terjadwal tidak ada, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSExecutionScheduler. Selain itu, OOS menambahkan kebijakan AliyunServiceRolePolicyForOOSExecutionScheduler ke peran terkait layanan tersebut. OOS dapat mengasumsikan peran ini untuk memanggil operasi API terkait guna mengeksekusi tugas terjadwal.
Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateSnapshot",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeDisks",
"ecs:DescribeInstances",
"ecs:DescribeInvocationResults",
"ecs:DescribeInvocations",
"ecs:DescribeManagedInstances",
"ecs:DescribeSnapshots",
"ecs:RebootInstance",
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:ModifyInstanceNetworkSpec",
"ecs:AcceptInquiredSystemEvent"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecd:CreateSnapshot",
"ecd:DescribeCloudAssistantStatus",
"ecd:DescribeDesktops",
"ecd:DescribeInvocations",
"ecd:DescribeSnapshots",
"ecd:RebootDesktops"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rds:StartDBInstance",
"rds:StopDBInstance",
"rds:DescribeDBInstances"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "oos:ListInstancePatchStates",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "executionscheduler.oos.aliyuncs.com"
}
}
}
]AliyunServiceRolePolicyForOOSPatchManager
Jika peran RAM yang diperlukan untuk memindai atau menginstal patch tidak ada, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSPatchManager. Selain itu, OOS menambahkan kebijakan AliyunServiceRolePolicyForOOSPatchManager ke peran terkait layanan tersebut. OOS dapat mengasumsikan peran ini untuk memindai atau menginstal patch.
Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateSnapshot",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeDisks",
"ecs:DescribeInstances",
"ecs:DescribeInvocationResults",
"ecs:DescribeInvocations",
"ecs:DescribeManagedInstances",
"ecs:DescribeSnapshots",
"ecs:RebootInstance",
"ecs:RunCommand"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecd:CreateSnapshot",
"ecd:DescribeCloudAssistantStatus",
"ecd:DescribeDesktops",
"ecd:DescribeInvocations",
"ecd:DescribeSnapshots",
"ecd:RebootDesktops",
"ecd:RunCommand"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"oos:ListInstancePatchStates"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "patchmanager.oos.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForOOSExecutionDelivery
Untuk mengakses sumber daya dari Layanan Log Sederhana dan OSS untuk menyampaikan catatan eksekusi OOS, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSExecutionDelivery untuk mendapatkan izin akses pada Layanan Log Sederhana dan OSS.
Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:PutObject",
"oss:GetBucketInfo",
"log:GetProject",
"log:GetLogStore",
"log:CreateLogStore",
"log:PostLogStoreLogs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "executiondelivery.oos.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForOOSApplicationManager
Untuk mengakses sumber daya CloudMonitor untuk secara otomatis membuat atau menghapus grup aplikasi CloudMonitor, OOS secara otomatis menciptakan peran terkait layanan bernama AliyunServiceRoleForOOSAppliactionManager untuk mendapatkan izin akses pada CloudMonitor.OOS
Kebijakan:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cms:CreateDynamicTagGroup",
"cms:DescribeDynamicTagRuleList",
"cms:DescribeMonitorGroups",
"cms:DeleteDynamicTagGroup"
],
"Resource": "*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "applicationmanager.oos.aliyuncs.com"
}
}
}
],
"Version": "1"
}AliyunServiceRoleForOOSSystemEventOperator
Jika peran RAM yang diperlukan untuk menerima operasi default suatu event sistem dan memberikan otorisasi kepada sistem untuk menjalankan operasi default tidak tersedia, OOS secara otomatis membuat peran terkait layanan bernama AliyunServiceRoleForOOSSystemEventOperator. Selain itu, OOS menambahkan kebijakan AliyunServiceRolePolicyForOOSSystemEventOperator ke peran terkait layanan tersebut. OOS dapat mengasumsikan peran ini untuk memanggil operasi API terkait guna menerima operasi default untuk event sistem dan memberikan otorisasi kepada sistem untuk menjalankan operasi default.
Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:AcceptInquiredSystemEvent",
"ecs:StopInstance",
"ecs:DescribeInstances",
"ecs:StartInstance"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "systemeventoperator.oos.aliyuncs.com"
}
}
}
]
}Hapus peran terkait layanan untuk OOS
Sebelum menghapus peran AliyunServiceRoleForOOSBandwidthScheduler atau AliyunServiceRoleForOOSInstanceScheduler, Anda harus membatalkan eksekusi OOS yang bergantung pada peran tersebut. Peran AliyunServiceRoleForOOSExecutionDelivery dan AliyunServiceRoleForOOSAppliactionManager dapat dihapus secara langsung.
Berikut adalah contoh cara menghapus peran AliyunServiceRoleForOOSExecutionDelivery:
Jika Anda menyampaikan catatan eksekusi OOS dan kemudian ingin menghapus peran AliyunServiceRoleForOOSExecutionDelivery demi alasan keamanan, Anda harus memahami dampak dari penghapusan peran tersebut. Setelah peran AliyunServiceRoleForOOSExecutionDelivery dihapus, catatan eksekusi OOS dalam akun saat ini tidak dapat disampaikan ke OOS atau SLS.OOS
Masuk ke Konsol Resource Access Management (RAM). Di panel navigasi kiri, pilih Identitas > Peran.
Di halaman Peran, masukkan AliyunServiceRoleForOOSExecutionDelivery di kotak pencarian dan klik ikon pencarian. Peran AliyunServiceRoleForOOSExecutionDelivery akan ditampilkan.
Di kolom Aksi, klik Hapus Peran.
Di pesan Hapus Peran, klik Hapus Peran.
Tanya Jawab Umum
Mengapa saya tidak dapat mengaktifkan OOS untuk membuat peran terkait layanan AliyunServiceRoleForOOSExecutionDelivery secara otomatis saat masuk sebagai pengguna RAM?
Jika Anda ingin OOS secara otomatis membuat atau menghapus peran AliyunServiceRoleForOOSExecutionDelivery ketika Anda masuk sebagai pengguna RAM, Anda harus memberikan izin yang diperlukan kepada pengguna RAM tersebut. Dalam hal ini, lampirkan kebijakan berikut ke pengguna RAM:
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:ID akun Alibaba Cloud Anda:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"executiondelivery.oos.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}Referensi
Untuk informasi lebih lanjut tentang cara menghapus peran terkait layanan, lihat Peran terkait layanan.