华为云首页用户手册

云运维中心 COC-创建委托指导:执行账号委托

时间：2025-02-12 15:04:03

云运维中心 COC

执行账号委托

以组织成员租户（执行账号）身份登录 IAM -新版控制台；
在左侧菜单栏单击“身份策略”，进入“身份策略”列表页，点击右上角“创建自定义身份策略”，为委托创建授权策略；

图10 创建授权策略
进入身份策略创建页面，填写“策略名称”；

图11 自定义身份策略名称
在“策略内容”中点击“云服务”，搜索“安全令牌服务”，选中后跳转至操作选择区；

图12 选择云服务1
在操作选择区分别搜索“sts:agencies:assume”、“sts::tagSession”、“sts::setSourceIdentity”三个action，选中；

图13 选择相关action1
点击“添加权限”，云服务选中“云服务操作中心”（COC）；

图14 选择云服务2
操作分别搜索选择“coc:instance:executeDocument”、“coc:job:action”、“coc:job:get”、“coc:job:list”四个action，用于授予组织管理员租户跨账号创建快速配置工单的权限；
继续点击“添加权限”，云服务选中“ 统一身份认证服务”（IAM）；
操作搜索选择“iam:projects:list”，用于授予组织管理员租户跨账号查询成员账号在某个区域的项目ID的权限;
继续点击“添加权限”，云服务选中“ 消息通知服务”（ SMN ）；
操作分别搜索选择“smn:topic:create”、“smn:topic:subscribe”两个action，用于授予组织管理员租户跨账号自动创建主题通知，并订阅与管理员主题相同的通知方式的权限；
继续点击“添加权限”，云服务选中“ 云监控服务 ”（ CES ）；
操作搜索选择“ces:alarms:create”，用于授予组织管理员租户跨账号创建CES告警规则的权限，之后点击页面右下角“确定”，完成执行租户委托的身份策略创建；

图15 执行租户委托身份策略创建
之后在IAM-新版控制台页面左侧菜单栏单击“委托”，进入“委托”列表，点击页面右上角“创建信任委托”，创建执行账号委托组织管理员权限的委托身份；
进入创建信任委托页面，自定义“委托名称”，信任主体类型选择“云服务”，云服务选择“云运维中心”，最大会话持续时长推荐选择“12小时”；
点击页面最下方的“完成”，即完成委托创建，之后点击弹窗中的“立即授权”，进入委托授权页面；

图16 创建委托
在授权列表右上角搜索步骤3-13中创建的策略的名称，选中，点击确定，即完成授权。

图17 委托授权
之后在“委托”列表页找到步骤14-17创建的委托，点击该委托一栏右侧“操作”列中的“编辑”按钮，进入委托编辑页面；

图18 编辑执行租户委托的信任策略1
在“信任委托”tab页点击“编辑信任策略”，在Pricipal中添加以下json数据：
```
"IAM": [          "${目标组织管理员租户的租户ID}"        ],
```
点击右下角的“确定”按钮，信任策略编辑完成，继续点击页面右下角的“确定”按钮，执行账户信任COC同时信任组织管理员的委托即创建完成。

图19 编辑执行租户委托的信任策略2

图20 编辑执行租户委托的信任策略3