配置变更管控
操作场景
通过变更管控,您可以根据具体的使用场景,配置是否开启工单提权,当前支持事件、WarRoom和变更单提权。
前提条件
开启变更管控需要申请IAM权限,具体的actionID如下:
策略/系统策略/自定义策略需要的权限:
"iam:roles:listRoles",
"iam:permissions:grantRoleToAgency",
"iam:permissions:grantRoleToAgencyOnDomain",
"iam:roles:createRole",
"iam:groups:listGroups",
"iam:permissions:listRoleAssignments",
"iam:permissions:grantRoleToGroupOnDomain",
"iam:permissions:revokeRoleFromGroupOnDomain",
"iam:permissions:revokeRoleFromGroupOnDomain",
"iam:roles:deleteRole",
"iam:roles:updateRole"
身份策略/系统身份策略/自定义身份策略需要的权限:
"iam:policies:createV5",
"iam:policies:listV5",
"iam:groups:attachPolicyV5",
"iam:groups:detachPolicyV5",
"iam:policies:deleteV5",
"iam:policies:listVersionsV5",
"iam:policies:createVersionV5",
"iam:policies:deleteVersionV5"
注意事项
- 当前coc生成的变更管控策略默认仅提供绑定在用户组的功能,请勿将策略用作其他用途;
- 您可以通过coc界面action的修改按钮来控制相应功能是否开启管控,注意所有操作请在coc完成,切勿直接操作策略。
- 工单提权开启后,策略绑定了用户后,若需要关闭工单提权,需先将用户组中的策略解绑后才能关闭。
- 工单提权时校验操作的资源region、应用和工单状态,若操作的资源无所属region、应用,则不校验,会显示该用户名下所有的工单。每种该工单的状态校验如下:
- 事件单状态校验:
- P1、P2、P3、P4已受理状态的事件单;
- 提权应用必须与事件单分析处理阶段的当前责任应用一致;
- 提权操作人必须与事件分析处理阶段的当前责任人一致;
- 提权区域必须与事件单的区域一致。
- WarRoom状态校验:
- WarRoom的状态为(启动WarRoom、故障界定);
- 提权应用在WarRoom的影响应用列表中;
- 提权操作人是WarRoom的恢复责任人、恢复成员、管理员。
- 变更单状态校验:
- 提权应用,Region必须与变更单中的一致;
- 此次提权的操作人必须是变更单的实施人;
- 当前操作时间必须在变更单的计划实施时间窗内(当前操作时间必须大于计划开始时间且小于计划结束时间);
- 变更单必须单击“变更开始”。
- 事件单状态校验:
开启工单提权后,北向接口无法使用。例如执行脚本开启工单提权,北向调用脚本接口无法使用。
配置变更管控
- 登录云运维中心。
- 在左侧导航栏选择“变更管理 > 变更管控”。
- 单击启用工单授权。
启用工单授权默认关闭,支持开启和关闭。开启后列表显示COC的所有操作动作(即Action)。
- 选择需要修改的action,单击操作列“修改”。
仅支持修改是否对接列为“已对接”的action。
- 设置“修改工单类型”。
表1 修改工单类型参数说明 参数
说明
启用工单授权
可选项“启用”、“禁用”。
启用表示需要进行工单提权,禁用表示所有账号操作该场景不用进行工单提权。
工单类型
可选项“变更单”、“事件单”、“WarRoom单”。支持多选。
是否自动创单
可选项“是”、“否”。
- 单击启用工单授权下方“关联策略”。
- 设置“关联策略”。
表2 关联策略参数说明 参数
说明
添加到用户组
选择用户组。支持多选。
将COC自动的策略加入到账号的用户组。
- 单击“确定”。
完成变更管控配置。
