配置ecs自助运维自定义策略-九游平台

操作场景

ecs自助运维功能依赖云运维中心（cloud operations center，简称coc），需开通并授权coc服务。开通并授权后，系统自动创建名为servicelinkedagencyforcoc和serviceagencyforcoc的委托，并授予必要的权限，用于通过coc代理操作对应的云服务器资源。详细内容，请参见查看委托。

当您想要使用iam用户进行ecs自助运维操作时，需联系iam用户所属华为账号为该iam用户授予coc的资源操作类权限。

本文为您介绍为iam用户授权的方法。

前提条件

本文默认iam用户已具备ecs相关操作权限。

若操作过程中出现ecs权限相关问题，请为iam用户授权，详细操作，请参见创建用户并授权使用ecs。

操作步骤

1. 使用iam用户所属华为账号登录页面。
2. 在页面右上角，单击“创建自定义策略”，并增加coc自定义权限策略。

   详细操作步骤，请参见创建自定义策略。

   以添加开通coc以及操作coc的自定义策略为例，进行介绍

   1. （可选）创建名为“开通coc”的自定义策略，并增加如下权限。
      

      如果iam用户所属华为账号已开通coc，则无需为iam用户添加“开通coc”的权限。

      {
          "version": "1.1",
          "statement": [
              {
                  "effect": "allow",
                  "action": [
                      "iam:agencies:list*",
                      "iam:agencies:createagency",
                      "iam:agencies:createservicelinkedagencyv5",
                      "coc:agency:get",
                      "coc:agency:create",
                      "iam:permissions:grantroletoagency",
                      "iam:permissions:grantroletoagencyondomain",
                      "iam:roles:listroles"
                  ]
              }
          ]
      }

   2. 创建名为“coc操作权限”的自定义策略，并增加如下权限。

      {
          "version": "1.1",
          "statement": [
              {
                  "effect": "allow",
                  "action": [
                      "coc:instance:listresources",
                      "coc:application:listresources",
                      "coc:schedule:list",
                      "coc:schedule:enable",
                      "coc:schedule:update",
                      "coc:schedule:disable",
                      "coc:schedule:approve",
                      "coc:schedule:create",
                      "coc:schedule:delete",
                      "coc:schedule:count",
                      "coc:schedule:get",
                      "coc:schedule:gethistories",
                      "coc:application:getdiagnosistaskdetails",
                      "coc:application:creatediagnosistask",
                      "coc:document:create",
                      "coc:document:listrunbookatomics",
                      "coc:document:getrunbookatomicdetails",
                      "coc:document:list",
                      "coc:document:delete",
                      "coc:document:update",
                      "coc:document:get",
                      "coc:document:analyzerisk",
                      "coc:instance:autobatchinstances",
                      "coc:instance:executedocument",
                      "coc:instance:start",
                      "coc:instance:reboot",
                      "coc:instance:stop",
                      "coc:job:action",
                      "coc:instance:reinstallos",
                      "coc:instance:changeos",
                      "coc:hostaccount:describe",
                      "coc:instance:syncresources"
                  ]
              }
          ]
      }

3. 创建用户组并授予coc的资源操作类权限。

   详细操作步骤，请参见创建用户组并授权。

   需要为用户组授予如下权限：

   • coc readonlyaccess
   • 步骤2中创建的“开通coc”以及“coc操作权限”自定义策略。
   图1 为用户组授权
   
4. 在iam控制台的“用户”页面，单击待授权的iam用户“操作”列的“授权”，为iam用户授予coc权限。

   详细操作步骤，请参见给iam用户授权。

   在“授权”页面，将待授权的iam用户加入到步骤3创建的用户组，完成iam用户的授权。