配置ECS自助运维自定义策略
操作场景
ECS自助运维功能依赖云运维中心(Cloud Operations Center,简称COC),需开通并授权COC服务。开通并授权后,系统自动创建名为ServiceLinkedAgencyForCOC和ServiceAgencyForCOC的委托,并授予必要的权限,用于通过COC代理操作对应的云服务器资源。详细内容,请参见查看委托。
当您想要使用IAM用户进行ECS自助运维操作时,需联系IAM用户所属华为账号为该IAM用户授予COC的资源操作类权限。
本文为您介绍为IAM用户授权的方法。
操作步骤
- 使用IAM用户所属华为账号登录IAM权限管理页面。
- 在页面右上角,单击“创建自定义策略”,并增加COC自定义权限策略。
详细操作步骤,请参见创建自定义策略。
以添加开通COC以及操作COC的自定义策略为例,进行介绍
- (可选)创建名为“开通COC”的自定义策略,并增加如下权限。
如果IAM用户所属华为账号已开通COC,则无需为IAM用户添加“开通COC”的权限。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "iam:agencies:list*", "iam:agencies:createAgency", "iam:agencies:createServiceLinkedAgencyV5", "coc:agency:get", "coc:agency:create", "iam:permissions:grantRoleToAgency", "iam:permissions:grantRoleToAgencyOnDomain", "iam:roles:listRoles" ] } ] }
- 创建名为“COC操作权限”的自定义策略,并增加如下权限。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "coc:instance:listResources", "coc:application:listResources", "coc:schedule:list", "coc:schedule:enable", "coc:schedule:update", "coc:schedule:disable", "coc:schedule:approve", "coc:schedule:create", "coc:schedule:delete", "coc:schedule:count", "coc:schedule:get", "coc:schedule:getHistories", "coc:application:GetDiagnosisTaskDetails", "coc:application:CreateDiagnosisTask", "coc:document:create", "coc:document:listRunbookAtomics", "coc:document:getRunbookAtomicDetails", "coc:document:list", "coc:document:delete", "coc:document:update", "coc:document:get", "coc:document:analyzeRisk", "coc:instance:autoBatchInstances", "coc:instance:executeDocument", "coc:instance:start", "coc:instance:reboot", "coc:instance:stop", "coc:job:action", "coc:instance:reinstallOS", "coc:instance:changeOS", "coc:hostAccount:describe", "coc:instance:syncResources" ] } ] }
- (可选)创建名为“开通COC”的自定义策略,并增加如下权限。
- 创建用户组并授予COC的资源操作类权限。
详细操作步骤,请参见创建用户组并授权。
需要为用户组授予如下权限:
- COC ReadOnlyAccess
- 步骤2中创建的“开通COC”以及“COC操作权限”自定义策略。
图1 为用户组授权
- 在IAM控制台的“用户”页面,单击待授权的IAM用户“操作”列的“授权”,为IAM用户授予COC权限。
详细操作步骤,请参见给IAM用户授权。
在“授权”页面,将待授权的IAM用户加入到步骤3创建的用户组,完成IAM用户的授权。