應(yīng)用場景

訪問控制RAM是阿里云提供的資源訪問控制服務(wù)。以下列舉了訪問控制RAM的典型場景：

系統(tǒng)運維管理管理員：您可以創(chuàng)建一個系統(tǒng)運維管理管理員，給該管理員組授予系統(tǒng)運維管理的完全權(quán)限，包括創(chuàng)建編輯模板和執(zhí)行。

模板開發(fā)者：該用戶組需要編輯模板的權(quán)限。您可以給開發(fā)者組授予一個權(quán)限策略，該策略授予用戶組成員調(diào)用CreateTemplate，UpdateTemplate等權(quán)限。

模板執(zhí)行：您可以限制一部分用戶只能執(zhí)行OOS模板，而不能創(chuàng)建修改OOS模板。

模板鑒權(quán)：您可以限制某個模板只能被指定的用戶（組）執(zhí)行。

子賬戶PassRole權(quán)限

幫助文檔"為OOS服務(wù)設(shè)置RAM權(quán)限"一節(jié)，介紹了創(chuàng)建RAM角色，并授信給系統(tǒng)運維管理的過程。但是，系統(tǒng)運維管理有權(quán)訪問這個RAM角色，并不代表執(zhí)行系統(tǒng)運維管理的子賬戶，有權(quán)使用這個RAM角色。只有對子賬戶和目標RAM角色進行PassRole鑒權(quán)通過之后，該子賬戶才能通過系統(tǒng)運維管理，使用目標RAM角色。

如果允許某子賬戶，靈活的使用已經(jīng)授信給系統(tǒng)運維管理的所有RAM角色，那么，可以創(chuàng)建如下的權(quán)限策略并授權(quán)給該子賬戶：

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:PassRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": "oos.aliyuncs.com"
        }
      }
    }
  ]
}	

出于安全考慮，您可能需要限制子賬戶只能使用某個特定的RAM Role（比如默認的OOSServieRole）來進行系統(tǒng)運維管理，在此情況下，您可以做如下授權(quán)：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ram:PassRole",
      "Resource": "acs:ram::{parent_uid}:role/OOSServiceRole"
    }
  ]
}

• 如果RAM角色是在模板內(nèi)部固定的（包括使用默認OOSServiceRole），輸入?yún)?shù)不包含角色，那么，在執(zhí)行該模板的時候，不需要PassRole授權(quán)。但是，在創(chuàng)建或者修改該模板的時候，子賬戶需要PassRole授權(quán)。

• 如果RAM角色是在執(zhí)行模板時通過輸入?yún)?shù)Parameters動態(tài)獲取的，模板本身并沒有指定RAM Role，那么，在創(chuàng)建或者修改該模板時，不需要PassRole的權(quán)限。但相應(yīng)的，執(zhí)行該模板并指定RAM Role的子賬戶，需要PassRole權(quán)限。

• 如上示例中的{parent_uid}為您所使用的阿里云主賬號ID。

權(quán)限策略

步驟一

請按以下流程在訪問控制RAM控制臺創(chuàng)建一個自定義權(quán)限策略：

1. 登錄RAM控制臺。

2. 在左側(cè)導(dǎo)航欄，單擊權(quán)限管理 > 權(quán)限策略。

3. 單擊創(chuàng)建權(quán)限策略。

4. 單擊腳本編輯，輸入策略。

   • 策略示例一：允許用戶執(zhí)行模板，但不允許編輯模板。

     {
         "Version": "1",
         "Statement": [
             {
                 "Action": [
                     "oos:List*",
                     "oos:Get*",
                     "oos:StartExecution",
                     "oos:CancelExecution",
                     "oos:NotifyExecution"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
             }
         ]
     }

   • 策略示例二：允許RAM用戶創(chuàng)建編輯模板。不包含執(zhí)行權(quán)限。

     {
         "Version": "1",
         "Statement": [
             {
                 "Action": [
                     "oos:List*",
                     "oos:Get*",
                     "oos:CreateTemplate",
                     "oos:UpdateTemplate",
                     "oos:ValidateTemplateContent"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
             }
         ]
     }

   • 策略示例三：系統(tǒng)運維管理的管理員權(quán)限。

     {
         "Version": "1",
         "Statement": [
             {
                 "Action": "oos:*",
                 "Effect": "Allow",
                 "Resource": "*"
             },
             {
                 "Action": "ram:PassRole",
                 "Resource": "*",
                 "Effect": "Allow",
                 "Condition": {
                     "StringEquals": {
                         "acs:Service": "oos.aliyuncs.com"
                     }
                 }
             }
         ]
     }

5. 單擊繼續(xù)編輯基本信息，填寫基本信息后單擊確定。

步驟二

請按以下流程在訪問控制RAM控制臺授權(quán)RAM用戶相關(guān)權(quán)限：

1. 在左側(cè)導(dǎo)航欄，單擊身份管理 > 用戶。

2. 找到已創(chuàng)建的RAM用戶，在操作列中，選擇添加權(quán)限。在選擇權(quán)限處，選擇一個或多個系統(tǒng)權(quán)限策略或者自定義權(quán)限策略。

3. 單擊確認新增授權(quán)。