文档首页/ 弹性云服务器 ECS/ 用户指南/ 自助运维管理/ 配置ECS自助运维自定义策略
更新时间:2024-10-29 GMT+08:00
分享

配置ECS自助运维自定义策略

操作场景

ECS自助运维功能依赖云运维中心(Cloud Operations Center,简称COC),需开通并授权COC服务。开通并授权后,系统自动创建名为ServiceLinkedAgencyForCOC和ServiceAgencyForCOC的委托,并授予必要的权限,用于通过COC代理操作对应的云服务器资源。详细内容,请参见查看委托

当您想要使用IAM用户进行ECS自助运维操作时,需联系IAM用户所属华为账号为该IAM用户授予COC的资源操作类权限。

本文为您介绍为IAM用户授权的方法。

前提条件

本文默认IAM用户已具备ECS相关操作权限。

若操作过程中出现ECS权限相关问题,请为IAM用户授权,详细操作,请参见创建用户并授权使用ECS

操作步骤

  1. 使用IAM用户所属华为账号登录IAM权限管理页面。
  2. 在页面右上角,单击“创建自定义策略”,并增加COC自定义权限策略。

    详细操作步骤,请参见创建自定义策略

    以添加开通COC以及操作COC的自定义策略为例,进行介绍

    1. (可选)创建名为“开通COC”的自定义策略,并增加如下权限。

      如果IAM用户所属华为账号已开通COC,则无需为IAM用户添加“开通COC”的权限。

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "iam:agencies:list*",
                      "iam:agencies:createAgency",
                      "iam:agencies:createServiceLinkedAgencyV5",
                      "coc:agency:get",
                      "coc:agency:create",
                      "iam:permissions:grantRoleToAgency",
                      "iam:permissions:grantRoleToAgencyOnDomain",
                      "iam:roles:listRoles"
                  ]
              }
          ]
      }
    2. 创建名为“COC操作权限”的自定义策略,并增加如下权限。
      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "coc:instance:listResources",
                      "coc:application:listResources",
                      "coc:schedule:list",
                      "coc:schedule:enable",
                      "coc:schedule:update",
                      "coc:schedule:disable",
                      "coc:schedule:approve",
                      "coc:schedule:create",
                      "coc:schedule:delete",
                      "coc:schedule:count",
                      "coc:schedule:get",
                      "coc:schedule:getHistories",
                      "coc:application:GetDiagnosisTaskDetails",
                      "coc:application:CreateDiagnosisTask",
                      "coc:document:create",
                      "coc:document:listRunbookAtomics",
                      "coc:document:getRunbookAtomicDetails",
                      "coc:document:list",
                      "coc:document:delete",
                      "coc:document:update",
                      "coc:document:get",
                      "coc:document:analyzeRisk",
                      "coc:instance:autoBatchInstances",
                      "coc:instance:executeDocument",
                      "coc:instance:start",
                      "coc:instance:reboot",
                      "coc:instance:stop",
                      "coc:job:action",
                      "coc:instance:reinstallOS",
                      "coc:instance:changeOS",
                      "coc:hostAccount:describe",
                      "coc:instance:syncResources"
                  ]
              }
          ]
      }
  3. 创建用户组并授予COC的资源操作类权限。

    详细操作步骤,请参见创建用户组并授权

    需要为用户组授予如下权限:

    • COC ReadOnlyAccess
    • 步骤2中创建的“开通COC”以及“COC操作权限”自定义策略。
    图1 为用户组授权
  4. 在IAM控制台的“用户”页面,单击待授权的IAM用户“操作”列的“授权”,为IAM用户授予COC权限。

    详细操作步骤,请参见给IAM用户授权

    在“授权”页面,将待授权的IAM用户加入到步骤3创建的用户组,完成IAM用户的授权。

相关文档