本文提供了在OOS通过访问控制实现团队或者部门成员鉴权、RAM账号资源授权以及跨云服务授权的RAM鉴权规则。
背景信息
当RAM账号通过OOS API访问OOS资源时,阿里云OOS首先向RAM发起权限检查,以确保资源拥有者已经将相关权限授予调用者。不同的OOS API会根据涉及的资源以及API语义确定需要检查哪些资源的权限。您可以阅读访问控制产品文档和访问控制API文档了解更多详情,实现精细化授权策略和权限控制。
说明 如果您无需授权就能访问目标资源,可以跳过此章节。
鉴权列表
部分API的鉴权规则如下表所示。资源说明请参见基本概念。
OpenAPI | Action | 资源ARN |
---|---|---|
CreateTemplate | oos:CreateTemplate | acs:oos:$regionid:$accountid:template/* |
ListTemplates | oos:ListTemplates | acs:oos:$regionid:$accountid:template/${templateName} |
UpdateTemplate | oos:UpdateTemplate | acs:oos:$regionid:$accountid:template/${templateName} |
GetTemplate | oos:GetTemplate | acs:oos:$regionid:$accountid:template/${templateName} |
DeleteTemplate | oos:DeleteTemplate | acs:oos:$regionid:$accountid:template/${templateName} |
GenerateTemplatePolicy | oos:GenerateTemplatePolicy | acs:oos:$regionid:$accountid:template/${templateName} |
StartExecution | oos:StartExecution | acs:oos:$regionid:$accountid:template/${templateName}execution/* |
ListExecutions | oos:ListExecutions | acs:oos:$regionid:$accountid:acs:oos:$regionid:$accountid:execution/${executionId} |
ListExecutionTasks | oos:ListExecutionTasks | acs:oos:$regionid:$accountid:execution/${executionId} |
CancelExecution | oos:CancelExecution | acs:oos:$regionid:$accountid:execution/${executionId} |
NotifyExecution | oos:NotifyExecution | acs:oos:$regionid:$accountid:execution/${executionId} |
DeleteExecutions | oos:DeleteExecutions | acs:oos:$regionid:$accountid:execution/${executionId} |
ListExecutionLogs | oos:ListExecutionLogs | acs:oos:$regionid:$accountid:execution/${executionId} |
GetExecutionTemplate | oos:GetExecutionTemplate | acs:oos:$regionid:$accountid:execution/${executionId} |