本节介绍如何为OOS服务设置访问其他云产品的权限。如果您需要为用户设置访问OOS的权限,请参见帮助文档账户访问控制

运维编排服务内部基于STS(Security Token Service)临时凭证访问其他云产品的API,您需要授权OOS账号以RamRole的身份访问您资源。

  • 如果在模板中未配置RamRole,则OOS默认扮演OOSServiceRole角色。
  • 如果模板配置了RamRole参数,OOS以您配置的参数扮演角色。
说明 临时凭证将周期性更新。

OOS所需权限

OOS执行不同模板时需要的云产品OpenAPI权限集合不同,您可通过OOS的OpenAPI GenerateExecutionPolicy来获取待执行模板所需的权限集合,然后以模版所需最小权限集原则赋予给该角色;您也可以直接赋予OOS相关云产品的FullAccess权限给OOS管理角色。

创建OOS扮演的角色

  1. 登录RAM角色管理控制台

    如创建RAM角色时在受信服务中无法找到运维编排服务,请单击体验新版切换到新版的访问控制RAM控制台。

  2. 单击新建RAM角色

  3. 选择可信实体类型阿里云服务,单击下一步

  4. 填写角色名称,此处的角色名称,应该与您的OOS模板中指定的RamRole一致。如果模板中不特殊指定RamRole,OOS默认使用OOSServiceRole。

  5. 选择授信服务运维编排服务。

  6. 单击完成

为OOS角色添加授权策略

  1. 登录RAM权限管理控制台

  2. 单击新增授权

  3. 被授权主体选择您刚创建的角色,如OOSServiceRole;根据运维编排服务执行模板的实际需要,选择不同的权限,本示例授予的是AliyunECSFullAccess系统权限,其可支撑ECS API相关任务的执行。

  4. 单击确定

    完成该OOS角色的授权。