变更管控
变更管控是对资源进行变更操作时,通过工单提权的方式,才能执行脚本、作业或查询账号密码等操作,确保人和所操作的对象和实际资源保持一致,防止权限过大,降低安全风险。
操作场景
通过变更管控,您可以根据具体的使用场景,配置是否开启工单提权,当前支持事件、Warroom和变更单提权。
前提条件
开启变更管控需要申请IAM权限,具体的actionID如下:
IAM v3版本权限:
"iam:roles:listRoles",
"iam:permissions:grantRoleToAgency",
"iam:permissions:grantRoleToAgencyOnDomain",
"iam:roles:createRole",
"iam:groups:listGroups",
"iam:permissions:listRoleAssignments",
"iam:permissions:grantRoleToGroupOnDomain",
"iam:permissions:revokeRoleFromGroupOnDomain",
"iam:permissions:revokeRoleFromGroupOnDomain",
"iam:roles:deleteRole",
"iam:roles:updateRole"
IAM v5版本权限:(IAM的新版本页面中 身份策略 添加action)
"iam:policies:createV5",
"iam:policies:listV5",
"iam:groups:attachPolicyV5",
"iam:groups:detachPolicyV5",
"iam:policies:deleteV5",
"iam:policies:listVersionsV5",
"iam:policies:createVersionV5",
"iam:policies:deleteVersionV5"
注意事项
1、当前coc生成的变更管控策略默认仅提供绑定在用户组的功能,请勿将策略用作其他用途;
2、您可以通过coc界面action的编辑按钮来控制相应功能是否开启管控,注意所有操作请在coc完成,切勿直接操作策略。
3、工单提权开启后,策略绑定了用户后,若需要关闭工单提权,需先将用户组中的策略解绑后才能关闭。
4、工单提权时校验操作的资源region、应用和工单状态,若操作的资源无所属region、应用,则不校验,会显示该用户名下所有的工单。每种该工单的状态校验如下:
事件单状态校验:
(1)P1、P2、P3、P4已受理状态的事件单;
(2)提权应用必需与事件单分析处理阶段的当前责任应用一致;
(3)提权操作人必需与事件分析处理阶段的当前责任人一致;
(4)提权区域必需与事件单的区域一致。
Warroom状态校验:
(1)warroom的状态为(启动warroom、故障界定);
(2)提权应用在warroom的影响应用列表中;
(3)提权操作人是warroom的恢复责任人、恢复成员、管理员。
变更单状态校验:
(1)提权应用,Region必须与变更单中的一致;
(2)此次提权的操作人必须是变更单的实施人;
(3)当前操作时间必须在变更单的计划实施时间窗内(当前操作时间必须大于计划开始时间且小于计划结束时间);
(4)变更单必须点击【变更开始】
开启工单提权后,北向接口无法使用。例如执行脚本开启工单提权,北向调用脚本接口无法使用。
操作步骤
- 登录COC。
- 在左侧菜单栏选择“变更管理 > 变更管控”页面,启用工单授权默认关闭,若需启用工单授权点击开启即可。
- 开启后列表显示COC的所有操作动作(即Action),支持对已对接的action进行开启或关闭。关闭表示所有账号操作该场景不用进行工单提权;开启后需要进行工单提权。
图1 变更管控列表
- action开启后还需关联策略,将COC自动的策略加入到账号的用户组,即可使用工单提权
图2 关联策略