配置函数的委托权限-j9九游会登录
本章节介绍如何创建、配置和修改函数的委托权限。
操作场景
当函数工作流服务需与其他云服务协同工作时,应创建云服务委托,授权functiongraph使用这些云服务,并在functiongraph中为函数配置委托权限,以实现与其他云服务的协同工作。
对于常见函数应用场景的委托配置,可参考常见应用场景授权项配置。
默认委托
为方便创建和使用函数,当华为云账号下无函数默认委托时,函数工作流服务提供快速创建默认委托的功能。
默认委托包含了函数工作流服务需要访问的部分云资源权限,如表1所示,其中相关服务的细粒度最小使用权限介绍请参见表4。
|
权限名称 |
描述 |
|---|---|
|
fgs_default_region_role |
函数默认委托使用的项目级服务策略,包含虚拟私有云服务(vpc)、弹性文件服务(sfs)等的最小权限集。 |
|
fgs_default_global_role |
函数默认委托使用的全局服务策略,包含统一身份认证服务(iam)和对象存储服务(obs)的最小权限集。 |
|
swr admin |
容器镜像服务(swr)管理员,拥有该服务下的所有权限。 |
|
dis user |
数据接入服务(dis)通道使用权限。 |
创建默认委托的3种方式:
方式一:首次登录自动弹出创建提示
- 首次登录函数工作流控制台,函数数量为0且无默认委托,在浏览“总览”页时,系统会弹窗提示是否需要创建默认委托,单击“同意授权并创建”即可自动创建名为“fgs_default_agency”的默认委托。
图1 弹窗提示
方式二:创建函数时单击创建
- 进入创建函数页面,“委托名称”参数的下拉列表中提供创建默认委托的选项,如图2所示,单击后会弹出授权窗口,单击“确定”,即可自动创建名为“fgs_default_agency”的默认委托。
图2 创建函数时创建默认委托
方式三:在函数详情页单击创建
- 进入函数详情页,如图3所示,选择“设置 > 权限”,单击“函数配置委托”参数的下拉列表,单击后会弹出授权窗口,单击“确定”,即可自动创建名为“fgs_default_agency”的默认委托。
图3 权限中创建默认委托
已创建默认委托后,以上3种方式不会再有创建默认委托的提示。
创建函数委托
以函数工作流服务获取vpc访问权限为例,当配置函数访问vpc内资源时,需为函数工作流服务创建委托并授予vpc访问权限,授权函数工作流服务使用vpc服务,实现云服务间的协同工作。
- 登录。
- 在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。
图4 创建委托
- 配置委托参数,完成参数配置后如图5所示,单击“完成”,系统弹出“创建成功”提示,单击“立即授权”。
- 委托名称:自定义填写,以“serverless-trust”为例。
- 委托类型:选择“云服务”。
- 云服务:选择“函数工作流 functiongraph”。
- 持续时间:以选择“永久”为例,实际使用时请根据业务需求填写。
- 描述(可选):填写描述信息。
图5 填写基本信息
- 进入“选择策略”页面,如图6所示,在右方搜索框中搜索需要添加的权限并勾选,此处以添加vpc administrator权限为例。勾选完成后单击“下一步”。
图6 选择策略
表2 委托权限示例 权限名称
使用描述/场景
vpc administrator
虚拟私有云服务管理员。
- 进入“设置最小授权范围”页面,如图7所示,建议根据业务部署的区域选择“指定区域项目资源”,并勾选所需区域。勾选完成后单击“确定”,进入“授权成功”界面。
图7 根据业务需要选择对应的权限
如果系统策略不满足授权要求,管理员可以通过“可视化视图”和“json视图”两种方式创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,详情请参见创建自定义策略。
配置函数委托
- 登录,在左侧导航栏选择“函数 > 函数列表”。
- 选择待配置委托的函数,单击进入函数详情页。
- 选择“设置 > 权限”,参考表3配置函数委托。配置完成后单击“保存”。
表3 配置函数委托参数说明 参数
说明
委托
在下拉框中选择已创建的函数委托。若无可用委托,可单击右侧“创建委托”进入统一身份认证服务iam创建,具体操作步骤请参见创建函数委托。
函数执行委托
勾选“为函数执行单独设置委托”时,将弹出此参数进行配置,如图8所示,配置后可以通过函数执行入口方法中的context参数获取具有委托中权限的token或者securityaccesskey、securitysecretkey、securitytoken,用于访问其他云服务,代码示例可参考6.4-环境变量应用示例。
函数执行委托与函数配置委托可独立设置,以确保业务使用过程中委托权限的明确管理。
图8 设置委托
修改函数委托
如需修改委托的权限、持续时间和描述参数,如图9所示,需在中对相应的functiongraph委托进行修改。
functiongraph相关委托修改后,约10分钟生效(如context.getsecuritytoken()更新)。通过context获取的委托相关信息有效期为24h,请注意在失效前及时刷新。
常见应用场景授权项
如需使用表4中的场景,即需与其他服务协同工作,应先创建函数委托,并配置函数委托。
创建委托时,授予的权限类型应根据实际业务需要进行调整,生产环境中建议调整为细粒度最小使用权限,以确保业务运行所需的同时,有效降低权限过大的潜在风险。
|
场景 |
策略名称 |
策略说明 |
细粒度最小使用权限 |
|---|---|---|---|
|
使用自定义镜像 |
swr admin |
容器镜像服务(swr)管理员,拥有该服务下的所有权限。 创建自定义镜像请参见使用容器镜像创建函数。 |
暂不支持 |
|
挂载sfs文件系统(仅存量用户支持) |
sfs administrator |
弹性文件服务(sfs)管理员,拥有该服务下的所有权限。 挂载sfs文件系统请参见挂载sfs容量型文件系统(仅存量用户支持)。 |
暂不支持 |
|
挂载sfs turbo文件系统 |
sfs turbo readonlyaccess |
弹性文件服务sfs turbo的只读权限。 挂载sfs turbo文件系统请参见挂载sfs turbo文件系统。 |
|
|
挂载ecs共享目录 |
ecs readonlyaccess |
弹性云服务器(ecs)的只读访问权限。 挂载ecs共享目录请参见挂载ecs共享目录。 |
ecs:cloudservers:get(查询云服务器详情) |
|
配置预留实例策略 |
aom readonlyaccess |
应用运维管理服务(aom)的只读权限。 |
|
|
functiongraph readonlyaccess |
函数工作流服务(functiongraph)的只读权限。 |
functiongraph:function:getconfig(查询函数配置) |
|
|
使用dis触发器 |
dis administrator |
数据接入服务(dis)管理员,拥有该服务下的所有权限。 创建dis触发器请参见使用数据接入服务(dis)触发器。 |
暂不支持 |
|
使用分布式消息触发器 |
dms readonlyaccess |
分布式消息服务(dms)的只读权限。 |
dms:instance:get(查看实例详情) |
|
配置跨域vpc访问 |
vpc administrator |
虚拟私有云vpc管理员, 拥有对vpc内所有资源执行任意操作的权限。 配置跨域vpc访问请参见函数访问vpc内资源。 |
|
|
dns域名解析 |
dns readonlyaccess |
云解析服务(dns)的只读权限,拥有该权限的用户仅能查看云解析服务资源。 调用dns服务的接口解析内网域名请参见解析dns内网域名。 |
|
|
开启异步通知 |
目标服务为obs时: obs administrator |
对象存储服务(obs)管理员,拥有该服务下的所有权限。 配置异步通知请参见配置函数的异步调用策略。 |
|
|
目标服务为smn时: smn administrator |
消息通知服务(smn)管理员,拥有该服务下的所有权限。 配置异步通知请参见配置函数的异步调用策略。 |
|
|
|
目标服务为dis时: dis administrator |
数据接入服务(dis)管理员,拥有该服务下的所有权限。 配置异步通知请参见配置函数的异步调用策略。 |
暂不支持 |
|
|
使用obs桶 |
obs administrator |
对象存储服务(obs)管理员,拥有该服务下的所有权限。 |
|
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
