CloudOps Orchestration Service (OOS) は、異なる OOS テンプレートが実行されるときに、他のクラウドサービスの API にアクセスするために異なる権限を必要とします。GenerateExecutionPolicy 操作を呼び出すことで、特定のテンプレートを実行するために必要な一連の権限を取得できます。その後、最小権限の原則に基づいて OOS テンプレートを実行するために必要な権限を RAM ロールに付与します。また、関連するクラウドサービスに対するフル権限を RAM ロールに付与することもできます。このトピックでは、Resource Access Management (RAM) を使用して、OOSOOSOOS が他のクラウドサービスにアクセスすることを承認する方法について説明します。
背景情報
ユーザーが OOS にアクセスすることを承認する場合は、アクセスの制御を実行できます。詳細については、「アクセスの制御」をご参照ください。
OOS は、一時的なセキュリティトークンサービス (STS) トークンを使用して、他のクラウドサービスの API にアクセスします。RAM ロールを偽装することで、OOS がリソースにアクセスすることを承認する必要があります。
テンプレートで RAM ロールが指定されていない場合、OOS は現在の Alibaba Cloud アカウントの権限を使用します。
テンプレートで RAM ロールが指定されている場合、OOS は指定されたロールを偽装します。
手順
ステップ 1: OOS によって偽装される RAM ロールを作成する
[ロールの作成] ページで、[プリンシパルの種類] を [クラウドサービス] に設定し、[プリンシパル名] を [cloudops Orchestration Service] に設定して、[OK] をクリックします。
説明[プリンシパル名] パラメーターに使用できる Alibaba Cloud サービスは、RAM コンソールによって異なります。
表示されるダイアログボックスで、ロール名を指定し、[OK] をクリックします。
ステップ 2: OOS によって偽装される RAM ロールに権限を付与する
RAM ロールが作成された後、RAM ロールには権限がありません。RAM ロールに権限を付与する必要があります。
RAM コンソール > ID > ロール ページに移動します。
ロールリストで、
OOSServiceRoleなどのロールを見つけ、[アクション] 列の [権限の付与] をクリックします。[権限の付与] パネルで、パラメーターを設定して RAM ロールのポリシーを作成し、[権限の付与] をクリックします。
パラメーター:
[プリンシパル]: システムはデフォルトで現在の RAM ロールを自動的に選択します。
[ポリシー]: CloudOps Orchestration Service テンプレートを実行するために必要な権限に基づいて、1 つ以上のポリシーを選択します。この例では、[aliyunecsfullaccess] ポリシーが OOSServiceRole ロールにアタッチされています。これにより、ロールは ECS API 関連のタスクを実行できます。
ユーザーに権限が付与されたら、[閉じる] をクリックします。