Function Compute：管理標籤

使用說明

• 標籤與服務資源是多對多的關係。
• 每個標籤都由一對索引值對組成。
• 標籤可以是授權的一個條件，為一個確定範圍內的資源做精細粒度授權。
• 服務下的資源，版本、別名、函數和觸發器均繼承服務的標籤。
  • 只要API的調用上填寫了服務，都支援標籤鑒權。
  • 不同版本的服務都是相同的標籤meta，即標籤修改影響的標籤鑒權針對的是所有版本和別名的服務。

使用限制

• 標籤鍵（Key）的最大長度為64個Unicode字元，區分大小寫。
• 標籤值（Value）的最大長度為128個Unicode字元，區分大小寫。
• 每個資源的標籤數不得超過20個。
• 標籤鍵（Key）支援ASCII、數字、中文字元和特殊字元-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支援中文標點符號，不支援以aliyun或acs:開頭，不允許包含http://和https://，不允許為空白字串。
• 標籤值（Value）支援ASCII、數字、中文字元和特殊字元-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支援中文標點符號，不允許包含http://和https://，不允許為空白字串。
• 各地區間的標籤資訊不互連。例如，在華東1（杭州）地區建立的標籤在華東2（上海）地區不可見。

建立標籤

1. 登入Function Compute控制台，在左側導覽列，單擊服務及函數。
2. 在頂部功能表列，選擇地區，然後在服務列表頁面，單擊目標服務。
3. 在左側導覽列，單擊服務詳情。
4. 在基礎資訊地區，將滑鼠移至標籤後的表徵圖，然後在氣泡中單擊綁定。
5. 在編輯服務標籤對話方塊，填寫標籤鍵和標籤值，單擊確認，然後單擊關閉。
   完成建立標籤後，將滑鼠再次移至服務詳情頁面的表徵圖，您可以看到剛才建立的標籤。您還可以根據需要，參考控制台介面提示，更新或刪除標籤。

使用標籤對服務分組授權

假設您建立了10個Function Compute的服務，需要將5個服務授權給dev團隊，另外5個服務授權給ops團隊。您希望每個團隊只能查看被授權的服務，未被授權的服務無法查看。此時，您可以通過標籤功能將各團隊進行分組，然後給不同分組的團隊授予不同的許可權。您需給其中5個服務添加一對標籤，標籤鍵是team，標籤值是dev；另外5個服務添加另一對標籤，標籤鍵是team，標籤值是ops。

1. 將5個授權給dev團隊的服務打上team:dev標籤，5個授權給ops團隊的服務打上team:ops標籤。具體操作，請參見建立標籤。
2. 建立RAM使用者。
3. 建立RAM使用者組。
   建立dev和ops兩個使用者組。
4. 為RAM使用者組添加RAM使用者。
   將不同的RAM使用者添加到相應的使用者組下。
5. 為兩個使用者組授予不同的許可權。
   權限原則分為系統權限原則和自訂權限原則，根據實際情境選擇合適的權限原則。
   • 為使用者組授予系統權限原則。

     具體操作，請參見為RAM使用者組授權。

   • 為使用者組授予自訂權限原則。
     1. 建立自訂權限原則。
        假設給dev團隊建立的自訂策略名稱稱為policyForDevTeam，策略樣本如下。

        {
            "Statement": [
                {
                    "Action": "fc:*",
                    "Effect": "Allow",
                    "Resource": "*",
                    "Condition": {
                        "StringEquals": {
                            "fc:tag/team": "dev"
                        }
                    }
                },
                {
                    "Action": "fc:ListServices",
                    "Effect": "Allow",
                    "Resource": "*"
                },
                {
                    "Action": "fc:GetResourceTags",
                    "Effect": "Allow",
                    "Resource": "*"
                }
            ],
            "Version": "1"
        }         

        假設給ops團隊建立的自訂策略名稱稱為policyForOpsTeam，策略樣本如下。

        {
            "Statement": [
                {
                    "Action": "fc:*",
                    "Effect": "Allow",
                    "Resource": "*",
                    "Condition": {
                        "StringEquals": {
                            "fc:tag/team": "ops"
                        }
                    }
                },
                {
                    "Action": "fc:ListServices",
                    "Effect": "Allow",
                    "Resource": "*"
                },
                {
                    "Action": "fc:GetResourceTags",
                    "Effect": "Allow",
                    "Resource": "*"
                }
            ],
            "Version": "1"
        }          

     2. 為RAM使用者組授權。

        選擇許可權時請選擇剛建立好的自訂策略。

   完成授權後，處於dev使用者組的RAM帳號只能操作標籤為team:dev的服務，處於ops使用者組的RAM帳號只能操作標籤為team:ops的服務。