云运维中心 COC-创建委托指导:委托功能说明

时间：2025-02-12 15:04:03

云运维中心 COC

委托功能说明

跨账号功能的使用需要两个委托：组织管理员委托和执行账号委托。

组织管理员委托：组织管理员或组织内COC服务委托管理员（以下统称管理员）信任COC服务的委托。委托用于支持COC服务切换到管理员身份，即保证COC服务可以通过该委托获取到管理员租户的临时安全凭证；

执行账号委托：执行账号（组织中的成员租户）信任COC服务和管理员的委托，必须是 IAM 5.0版本的信任委托。委托用于支持管理员切换到执行账号身份进行作业工单创建以及跨账号实际目的操作，以跨账号创建 CES 告警规则为例，跨账号实际目的操作有三个：创建 SMN 主题、SMN主题添加订阅和创建CES告警规则，所以实际创建的执行账号委托除了需要支持管理员能够切换到执行账号身份进行作业工单创建外，还需要支持以上三个操作。

图2 执行账号委托信任策略

执行账号委托授权策略内容

{  "Version": "5.0",  "Statement": [    {      "Effect": "Allow",      "Action": [        "ces:alarms:create"      ]    },    {      "Effect": "Allow",      "Action": [        "smn:topic:create",        "smn:topic:subscribe"      ]    },    {      "Effect": "Allow",      "Action": [        "sts:agencies:assume",        "sts::setSourceIdentity",        "sts::tagSession"      ]    },    {      "Effect": "Allow",      "Action": [        "coc:instance:executeDocument",        "coc:job:get",        "coc:job:list"      ]    },    {      "Effect": "Allow",      "Action": [        "iam:projects:list"      ]    }  ]}

上一篇：云运维中心 COC-批量ECS资源切换镜像报错如何处理？

下一篇：云运维中心 COC-批量ECS资源切换镜像报错如何处理？