更新时间:2025-09-11 GMT+08:00
如何创建委托?
背景
若您的企业组织存在多个租户账号,您可以使用COC的跨账号能力在创建CES告警规则、执行作业等场景通过一个账号完成多账号多区域的运维任务配置和下发,在此过程中,您需要创建和使用相应的委托。
本章节将以跨账号创建CES告警规则场景为例,详述如何创建相关委托。
COC服务“总览 > 快速配置中心 > 云服务配置”板块使用跨账号配置功能,如下图示例。
图1 配置跨账号功能
委托功能说明
跨账号功能的使用需要两个委托:组织管理员委托和执行账号委托。
- 组织管理员委托:组织管理员或组织内COC服务委托管理员(以下统称管理员)创建并信任COC服务的委托。委托用于支持COC服务切换到管理员身份,即允许COC服务以管理员身份执行必要的管理任务。
- 执行账号委托:执行账号(组织中的成员租户)信任COC服务和管理员的委托,必须是IAM 5.0版本的信任委托。委托用于支持管理员切换到执行账号身份进行作业工单创建以及跨账号实际目的操作。
假设您正在使用华为云的COC服务进行跨账号操作,您需要创建一个执行账号委托,以便COC服务可以以管理员的身份执行以下操作:
- 在执行账号中创建一个新的SMN主题。
- 向该SMN主题添加订阅,以便接收告警通知。
- 在执行账号中创建CES告警规则,以便监控和触发告警。
同时,该委托还应允许管理员切换至执行账号身份,以便创建作业工单。这确保了管理员能够在执行账号中执行必要的管理任务,同时保持操作的灵活性和安全性。
执行账号委托信任策略内容:{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "ces:alarms:create" ] }, { "Effect": "Allow", "Action": [ "smn:topic:create", "smn:topic:subscribe" ] }, { "Effect": "Allow", "Action": [ "sts:agencies:assume", "sts::setSourceIdentity", "sts::tagSession" ] }, { "Effect": "Allow", "Action": [ "coc:instance:executeDocument", "coc:job:action", "coc:job:get", "coc:job:list" ] }, { "Effect": "Allow", "Action": [ "iam:projects:list" ] } ]}
- 委托需要支持的操作就代表了委托的授权。
- 当前创建CES告警规则中包含了告警通知功能,通知功能受限于周边服务对外开放能力,故当前仅开放了主题订阅一种通知方式。
- 在配置CES告警规则参数时,通知主题是依托于登录的管理员租户(组织管理员或组织COC服务委托管理员)拥有的通知主题进行选择的,服务不支持提前查询执行账号(目标跨账号租户)拥有的通知主题,故在执行快速配置工单时,服务会为执行账号创建与配置CES告警规则参数时选择的管理员租户的通知主题具有相同订阅方式(订阅方式中welink、飞书、钉钉因为订阅方式特殊,不会自动添加到新创建的主题订阅中)相同名称的主题。通知根据通知数量等情形可能存在收费,因此请使用跨账号创建CES告警规则的用户注意,如不需要发送通知功能,可在配置CES告警规则时关闭发送通知功能。
注意事项
组织管理员委托和执行账号委托的创建,均基于跨账号操作的两个租户(委托租户和被委托租户)属于同一组织的前提条件。
组织管理员委托
- 使用组织管理员租户账号登录IAM控制台。
- 单击“体验新版控制台”,进入新版控制台。
- 在左侧菜单栏单击“身份策略”,进入“身份策略”列表页,单击右上角“创建自定义身份策略”,为委托创建授权策略。
图2 创建授权策略
- 进入身份策略创建页面,填写“策略名称”。
图3 自定义身份策略名称
- 在“策略内容”中单击“云服务”,搜索“安全令牌服务”,选中后跳转至操作选择区。
图4 选择云服务
- 在操作选择区分别搜索“sts:agencies:assume”、“sts::tagSession”、“sts::setSourceIdentity”三个action,勾选后,单击页面右下角“确定”,用于切换身份的策略即创建成功。
图5 完成切换身份的身份策略创建
- 在左侧菜单栏单击“委托”,进入“委托”列表页。
- 单击右上角“创建信任委托”,进入创建信任委托页面。
图6 创建信任委托
- 自定义“委托名称”,信任主体类型选择“云服务”,云服务选择“云运维中心”,最大会话持续时长推荐选择“12小时”。
- 单击页面最下方的“完成”,即完成委托创建,之后单击弹窗中的“立即授权”,进入委托授权页面。
图7 完成信任委托创建
- 在授权列表右上角搜索4中创建的策略名称,选中,单击“确定”,即完成授权。
图8 委托授权
执行账号委托
- 以组织成员租户(执行账号)身份登录IAM控制台。
- 单击“体验新版控制台”,进入新版控制台。
- 在左侧菜单栏单击“身份策略”,进入“身份策略”列表页。
- 单击右上角“创建自定义身份策略”,为委托创建授权策略、
图9 创建授权策略
- 进入身份策略创建页面,填写“策略名称”。
图10 自定义身份策略名称
- “策略配置方式”选择“JSON视图”,在输入框中填写以下策略内容。
图11 自定义策略内容
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "sts:agencies:assume", "sts::setSourceIdentity", "sts::tagSession" ] }, { "Effect": "Allow", "Action": [ "coc:instance:executeDocument", "coc:job:action", "coc:job:get", "coc:job:list" ] }, { "Effect": "Allow", "Action": [ "iam:projects:list" ] }, { "Effect": "Allow", "Action": [ "smn:topic:create", "smn:topic:subscribe" ] } ] } - 单击页面右下角“确定”,完成执行租户委托的身份策略创建。
图12 执行租户委托身份策略创建
- 在IAM新版控制台页面左侧菜单栏单击“委托”,进入“委托”列表
- 单击页面右上角“创建信任委托”,创建执行账号委托组织管理员权限的委托身份。
- 自定义“委托名称”。
- 信任主体类型选择“云服务”。
- 云服务选择“云运维中心”。
- 最大会话持续时长推荐选择“12小时”。
- 单击页面最下方的“完成”,即完成委托创建。
图13 创建委托
- 单击弹窗中的“立即授权”,进入委托授权页面。
- 在授权列表右上角搜索5中创建的策略名称,选中,单击“确定”,即完成授权。
图14 委托授权
- 之后在“委托”列表页找到9-12创建的委托,单击该委托一栏右侧“操作”列中的“编辑”按钮,进入委托编辑页面;
图15 编辑执行租户委托的信任策略1
- 在“信任委托”tab页单击“编辑信任策略”,在Pricipal中添加以下json数据:
"IAM": [ "${目标组织管理员租户的租户ID}" ],
- 单击右下角的“确定”按钮,信任策略编辑完成,继续单击页面右下角的“确定”按钮,执行账户信任COC同时信任组织管理员的委托即创建完成。
图16 编辑执行租户委托的信任策略2
