更新时间:2026-01-08 GMT+08:00
配置变更管控
变更管控功能开启后,必须以事件工单、WarRoom协同任务、变更单为授权依据,运维人员需基于具体场景关联对应工单,方可申请临时操作权限,未关联授权工单的提权请求将被直接拦截,以此实现权限与运维场景的强绑定,从根源上杜绝无计划、无审批的越权操作。
图1 功能实现流程
前提条件
开启变更管控需要申请IAM权限,具体的ActionID如下:
|
授权类型 |
Action ID |
|---|---|
|
策略/系统策略/自定义策略 |
|
|
身份策略/系统身份策略/自定义身份策略 |
|
注意事项
开启工单提权后,北向接口无法使用。例如执行脚本开启工单提权,北向调用脚本接口无法使用。
- 当前COC生成的变更管控策略默认仅提供绑定在用户组的功能,请勿将策略用作其他用途。
- 您可以通过COC界面Action的修改按钮来控制相应功能是否开启管控,注意所有操作请在COC完成,切勿直接操作策略。
- 工单提权开启后,策略绑定了用户后,若需要关闭工单提权,需先将用户组中的策略解绑后才能关闭。
- 工单提权时校验操作的资源region、应用和工单状态,若操作的资源无所属region、应用,则不校验,会显示该用户名下所有的工单。每种该工单的状态校验如下:
- 事件单状态校验:
- P1、P2、P3、P4已受理状态的事件单;
- 提权应用必须与事件单分析处理阶段的当前责任应用一致;
- 提权操作人必须与事件分析处理阶段的当前责任人一致;
- 提权区域必须与事件单的区域一致。
- WarRoom状态校验:
- WarRoom的状态为“启动WarRoom”或“故障界定”;
- 提权应用在WarRoom的影响应用列表中;
- 提权操作人是WarRoom的恢复责任人、恢复成员、管理员。
- 变更单状态校验:
- 提权应用,Region必须与变更单中的一致;
- 此次提权的操作人必须是变更单的实施人;
- 当前操作时间必须在变更单的计划实施时间窗内,即当前操作时间必须大于计划开始时间且小于计划结束时间;
- 变更单必须单击“变更开始”。
- 事件单状态校验:
配置变更管控
- 登录云运维中心。
- 在左侧导航栏选择“变更管理 > 变更管控”。
- 单击启用工单授权。
启用工单授权默认关闭,支持开启和关闭。开启后列表显示COC的所有操作动作(即Action)。
- 单击启用工单授权下方“关联策略”,系统自动生成变更管控场景使用的相关策略。
- 在下拉框中选择需添加策略的用户组。
- 单击“确定”,系统将自动的策略添加至所选择的用户组下。
- 在动作列表中选择需要修改管控规则的动作,单击操作列“修改”。
仅支持修改“是否对接”列为“已对接”的动作。
- 设置“修改工单类型”。
表2 修改工单类型参数说明 参数
说明
启用工单授权
可选项“启用”、“禁用”。
- 启用表示需要进行工单提权。
- 禁用表示所有账号操作该场景不用进行工单提权。
工单类型
可选项“变更单”、“事件单”、“WarRoom单”。
支持多选。
是否自动创单
可选项“是”、“否”。
- 选择是,则在进行对应变更操作时会自动创建已审批的变更单。
- 选择否,则在进行对应变更操作时不会自动创单,只在系统已创建的工单中进行匹配与认证校验。
- 单击“确定”。
完成变更管控配置。
