更新时间:2024-12-26 GMT+08:00
分享

变更管控

变更管控是对资源进行变更操作时,通过工单提权的方式,才能执行脚本、作业或查询账号密码等操作,确保人和所操作的对象和实际资源保持一致,防止权限过大,降低安全风险。

操作场景

通过变更管控,您可以根据具体的使用场景,配置是否开启工单提权,当前支持事件、Warroom和变更单提权。

前提条件

开启变更管控需要申请IAM权限,具体的actionID如下:

IAM v3版本权限:

"iam:roles:listRoles",

"iam:permissions:grantRoleToAgency",

"iam:permissions:grantRoleToAgencyOnDomain",

"iam:roles:createRole",

"iam:groups:listGroups",

"iam:permissions:listRoleAssignments",

"iam:permissions:grantRoleToGroupOnDomain",

"iam:permissions:revokeRoleFromGroupOnDomain",

"iam:permissions:revokeRoleFromGroupOnDomain",

"iam:roles:deleteRole",

"iam:roles:updateRole"

IAM v5版本权限:(IAM的新版本页面中 身份策略 添加action)

"iam:policies:createV5",

"iam:policies:listV5",

"iam:groups:attachPolicyV5",

"iam:groups:detachPolicyV5",

"iam:policies:deleteV5",

"iam:policies:listVersionsV5",

"iam:policies:createVersionV5",

"iam:policies:deleteVersionV5"

注意事项

1、当前coc生成的变更管控策略默认仅提供绑定在用户组的功能,请勿将策略用作其他用途;

2、您可以通过coc界面action的编辑按钮来控制相应功能是否开启管控,注意所有操作请在coc完成,切勿直接操作策略。

3、工单提权开启后,策略绑定了用户后,若需要关闭工单提权,需先将用户组中的策略解绑后才能关闭。

4、工单提权时校验操作的资源region、应用和工单状态,若操作的资源无所属region、应用,则不校验,会显示该用户名下所有的工单。每种该工单的状态校验如下:

事件单状态校验:

(1)P1、P2、P3、P4已受理状态的事件单;

(2)提权应用必需与事件单分析处理阶段的当前责任应用一致;

(3)提权操作人必需与事件分析处理阶段的当前责任人一致;

(4)提权区域必需与事件单的区域一致。

Warroom状态校验:

(1)warroom的状态为(启动warroom、故障界定);

(2)提权应用在warroom的影响应用列表中;

(3)提权操作人是warroom的恢复责任人、恢复成员、管理员。

变更单状态校验:

(1)提权应用,Region必须与变更单中的一致;

(2)此次提权的操作人必须是变更单的实施人;

(3)当前操作时间必须在变更单的计划实施时间窗内(当前操作时间必须大于计划开始时间且小于计划结束时间);

(4)变更单必须点击【变更开始】

开启工单提权后,北向接口无法使用。例如执行脚本开启工单提权,北向调用脚本接口无法使用。

操作步骤

  1. 登录COC
  2. 在左侧菜单栏选择“变更管理 > 变更管控”页面,启用工单授权默认关闭,若需启用工单授权点击开启即可。
  3. 开启后列表显示COC的所有操作动作(即Action),支持对已对接的action进行开启或关闭。关闭表示所有账号操作该场景不用进行工单提权;开启后需要进行工单提权。

    图1 变更管控列表

  4. action开启后还需关联策略,将COC自动的策略加入到账号的用户组,即可使用工单提权

    图2 关联策略

相关文档