全部产品
Search
文档中心

运维编排服务:为OOS服务设置RAM权限

更新时间:Sep 26, 2022

本节介绍如何为OOS服务设置访问其他云产品的权限。如果您需要为用户设置访问OOS的权限,请参见帮助文档账户访问控制

运维编排服务内部基于STS(Security Token Service)临时凭证访问其他云产品的API,您需要授权OOS账号以RamRole的身份访问您资源。

  • 如果在模板中未配置RamRole,则OOS默认扮演OOSServiceRole角色。

  • 如果模板配置了RamRole参数,OOS以您配置的参数扮演角色。

说明

临时凭证将周期性更新。

OOS所需权限

OOS执行不同模板时需要的云产品OpenAPI权限集合不同,您可通过OOS的OpenAPI GenerateExecutionPolicy来获取待执行模板所需的权限集合,然后以模板所需最小权限集原则赋予给该角色;您也可以直接赋予OOS相关云产品的FullAccess权限给OOS管理角色。

创建OOS扮演的角色

具体操作步骤,请参见创建可信实体为阿里云服务的RAM角色。关键步骤如下:

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击创建角色

  4. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步image

  5. 选择角色类型为普通服务角色,输入角色名称(如果模板中不特殊指定RamRole,OOS默认使用OOSServiceRole),选择受信服务为运维编排服务image

  6. 单击完成

  7. 单击关闭

为OOS角色添加授权策略

具体操作步骤,请参见为RAM角色授权关键步骤如下:

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击目标RAM角色操作列的添加权限

  4. 添加权限面板,为RAM角色添加权限。

    1. 被授权主体:选择您刚创建的角色,如OOSServiceRole

    2. 选择权限:根据运维编排服务执行模板的实际需要,选择不同的权限。例如AliyunECSFullAccess系统权限可支撑ECS API相关任务的执行。p494986

  5. 单击确定

  6. 单击完成