本文提供了在OOS通过访问控制实现团队或者部门成员鉴权、RAM账号资源授权以及跨云服务授权的RAM鉴权规则。
背景信息
当RAM账号通过OOS API访问OOS资源时,阿里云OOS首先向RAM发起权限检查,以确保资源拥有者已经将相关权限授予调用者。不同的OOS API会根据涉及的资源以及API语义确定需要检查哪些资源的权限。您可以阅读访问控制产品文档和访问控制API文档了解更多详情,实现精细化授权策略和权限控制。
说明 如果您无需授权就能访问目标资源,可以跳过此章节。
鉴权列表
部分API的鉴权规则如下表所示。资源说明请参见基本概念。
| OpenAPI | Action | 资源ARN |
|---|---|---|
| CreateTemplate | oos:CreateTemplate | acs:oos:$regionid:$accountid:template/* |
| ListTemplates | oos:ListTemplates | acs:oos:$regionid:$accountid:template/${templateName} |
| UpdateTemplate | oos:UpdateTemplate | acs:oos:$regionid:$accountid:template/${templateName} |
| GetTemplate | oos:GetTemplate | acs:oos:$regionid:$accountid:template/${templateName} |
| DeleteTemplate | oos:DeleteTemplate | acs:oos:$regionid:$accountid:template/${templateName} |
| GenerateTemplatePolicy | oos:GenerateTemplatePolicy | acs:oos:$regionid:$accountid:template/${templateName} |
| StartExecution | oos:StartExecution | acs:oos:$regionid:$accountid:template/${templateName}
acs:oos:$regionid:$accountid:execution/* |
| ListExecutions | oos:ListExecutions | acs:oos:$regionid:$accountid:execution/${executionId} |
| ListExecutionTasks | oos:ListExecutionTasks | acs:oos:$regionid:$accountid:execution/${executionId} |
| CancelExecution | oos:CancelExecution | acs:oos:$regionid:$accountid:execution/${executionId} |
| NotifyExecution | oos:NotifyExecution | acs:oos:$regionid:$accountid:execution/${executionId} |
| DeleteExecutions | oos:DeleteExecutions | acs:oos:$regionid:$accountid:execution/${executionId} |
| ListExecutionLogs | oos:ListExecutionLogs | acs:oos:$regionid:$accountid:execution/${executionId} |
| GetExecutionTemplate | oos:GetExecutionTemplate | acs:oos:$regionid:$accountid:execution/${executionId} |