如何为OOS服务设置RAM权限？

本节介绍如何为OOS服务设置访问其他云产品的权限。如果您需要为用户设置访问OOS的权限，请参考帮助文档“最佳实践-账号访问控制” 一节。

运维编排服务内部基于STS（Security Token Service）临时凭证访问其他云产品的API，您需要授权OOS账号以RamRole的身份访问您资源。

如果在模板中未配置RamRole，则OOS默认扮演OOSServiceRole角色。 如果模板配置了RamRole参数，OOS以您配置的参数扮演角色。 说明：临时凭证将周期性更新。

OOS所需权限 OOS执行不同模板时需要的云产品OpenAPI权限集合不同，您可通过OOS的OpenAPI GenerateExecutionPolicy 来获取待执行模板所需的权限集合，然后以模版所需最小权限集原则赋予给该角色；您也可以直接赋予OOS相关云产品的FullAccess权限给OOS管理角色。

创建OOS扮演的角色 登录RAM角色管理控制台。 注： 如创建RAM角色时在受信服务中无法找到运维编排服务，请单击体验新版切换到新版的访问控制RAM控制台。oos 单击 新建RAM角色。

oos 选择可信实体类型阿里云服务，单击 下一步 。

oos

填写 角色名称，此处的角色名称，应该与您的OOS模板中指定的RamRole一致。如果模板中不特殊指定 RamRole，OOS默认使用OOSServiceRole。

oos 选择授信服务运维编排服务 。

oos 单击完成 。

为OOS角色添加授权策略 登录RAM权限管理控制台。 单击 新增授权 。

oos 被授权主体选择您刚创建的角色，如OOSServiceRole；根据运维编排服务执行模板的实际需要，选择不同的权限。例如，如果您希望通过运维编排模板进行ECS的创建销毁启停等操作，可以选择云产品ECS的FullAccess权限。

oos 单击确定。 完成该OOS角色的授权。