制御プレーンワークフローには、関数のアクセス制御、ならびに関数コードおよび構成の挿入、削除、変更、およびクエリが含まれる。 コントロールプレーンのワークフローには、主に、関数、コード、レイヤー、イメージキャッシュのメタデータなどのデータの安全な送信と保存が含まれます。 このトピックでは、Function Computeがコントロールプレーンで提供するセキュリティ保護について説明します。
RAMを使用したアクセスセキュリティの確保
イベントソースのトリガー: イベントソースのトリガーを作成し、関数の実行をトリガーする実行権限をトリガーに付与する必要があります。
クラウドサービスアクセス: Object Storage Service (OSS) 、Simple Log Service (SLS) 、Tablestoreなどの他のAlibaba Cloudサービスにアクセスするには、権限を付与する必要があります。
Resource Access Management (RAM) ユーザー権限付与: RAMを使用して、Function Computeの関数に対するさまざまな操作権限をRAMユーザーに付与できます。
クロスアカウント権限付与: RAMを使用して、Function Computeの関数に対して異なる操作権限を他のアカウントに付与できます。
伝送暗号化とストレージ暗号化による機能のメタデータセキュリティの確保
Function Computeは、Transport Layer Security (TLS) 1.2以降を使用して、API操作と内部通信を暗号化します。
AES-256暗号化アルゴリズムは、関数のメタデータを暗号化するために使用される。 復号化されたメタデータのキャッシュ時間は最大600秒です。
分離、アクセス制御、および伝送暗号化を使用してコードおよびレイヤキャッシュのセキュリティを確保
関数を作成または更新するには、OSSからのデータを同期するか、API操作を呼び出して関数コードをFunction Computeにアップロードします。 Function Computeは、分離されたアカウントを使用して、コードまたはレイヤーをObject Storage Serviceにキャッシュします。 関数インスタンスの初期化中に、Function Computeは一時ダウンロードURLを申請し、コードとレイヤーを実行環境にダウンロードします。 仮想化分離テクノロジーを使用することにより、関数インスタンスは独自のコードと構成されたレイヤーにのみアクセスできます。
有効な資格情報を含む一時ダウンロードURLを取得した後、API操作を呼び出すか、コンソールを使用するか、ツールを使用して、コードまたはレイヤーをダウンロードできます。
TLS 1.2以降は、Function Computeのコードとレイヤーの送信を暗号化するために使用されます。
分離、アクセス制御、伝送暗号化によるイメージキャッシュのセキュリティ確保
コンテナイメージをFunction Computeにアップロードすると、分離されたアカウントを使用してコンテナイメージがcontainer Registryにキャッシュされます。 このアカウントだけが、コンテナイメージをダウンロードする権限を持っています。 関数インスタンスの初期化中、Function ComputeはTLS 1.2以降を使用してコンテナイメージをダウンロードします。