全部產品
Search

搜尋本產品

    Function Compute:授予Function Compute訪問其他雲端服務的許可權

    文件中心

    Function Compute:授予Function Compute訪問其他雲端服務的許可權

    更新時間:Jul 06, 2024

    在使用Function Compute提供的日誌、VPC、非同步呼叫目標服務等功能時,Function Compute需要訪問其他的雲端服務。例如配置函數日誌時,使用者需要授權Function Compute對指定日誌的Logstore的寫入許可權,才能夠將函數日誌寫入Logstore。Function Compute支援服務關聯角色,使用者授權後,建立的函數預設將使用服務關聯角色,函數不需要配置角色即可使用日誌、VPC、非同步呼叫目標服務等功能。而使用者代碼邏輯如果需要訪問其他雲端服務,或需要更細粒度的授權,可以選擇使用函數角色來授權。

    功能原理

    Function Compute根據函數配置的角色,通過AssumeRole擷取一個臨時密鑰(STS Token)。然後通過上下文中的參數Credentialscredentials將臨時密鑰傳遞給您的函數。此臨時密鑰包含了您所配置的許可權的所有資源,您可以在函數代碼中使用其訪問其他阿里雲服務。

    臨時密鑰的有效期間為36小時,且不支援修改。函數的最大執行時間為24小時,因此,執行函數過程中,臨時密鑰不會到期。

    不同的運行時,參數Credentialscredentials的位置不同,您可以點擊以下連結訪問對應的文檔。需要強調的是,當您使用Custom Runtime或Custom Container的時候,臨時密鑰會被注入HTTP請求的Header中。

    樣本:授予Function Compute訪問OSS的許可權

    本文以授予Function Compute訪問Object Storage Service系統管理權限為例進行介紹。如果需要指定函數具有管理Object Storage Service服務的許可權,可以為該函數綁定一個角色,然後為此角色授予管理Object Storage Service的許可權。

    前提條件

    建立函數

    操作步驟

    1. 登入Function Compute控制台,在左側導覽列,單擊函數

    2. 在頂部功能表列,選擇地區,然後在函數頁面,單擊目標函數操作列的配置

    3. 在函數詳情頁面,選擇配置頁簽,然後在左側導覽列選擇許可權,單擊編輯,在編輯許可權面板,單擊建立角色跳轉至RAM控制台,根據介面提示建立角色並為角色授予要求的權限。

      您也可以使用已有的角色,如果許可權不足,單擊編輯策略根據需要添加權限原則。具體操作,請參見為RAM角色授權

      image

      1. RAM控制台角色頁面,單擊建立角色

      2. 選擇類型頁簽,選擇可信實體類型為阿里雲服務,然後單擊下一步

        image.png

      3. 配置角色頁簽,選擇普通服務角色,設定角色名稱(本文樣本為mytestrole),選擇受信服務Function Compute,然後單擊完成

        image.png

      4. 建立完成頁簽,單擊為角色授權,然後單擊目標角色右側操作列的新增授權

      5. 在授權頁面,選擇授權範圍授權主體預設為選擇的目標角色,選擇所需系統策略或自訂策略,單擊添加到右側已挑選清單,然後單擊確定。更多資訊,請參見權限原則及樣本

        • 整個雲帳號:許可權在當前阿里雲帳號內生效。

        • 指定資源群組:許可權在指定的資源群組內生效。指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務

        本文樣本為管理Object Storage Service,因此,您需要為建立角色增加系統策略AliyunOSSFullAccess

        image

    4. 為目標函數綁定上一步建立的新角色mytestrole

      image

    5. 測試已綁定角色mytestrole的函數是否有管理OSS的許可權。

      1. 在函數列表,單擊目標函數,然後選擇代碼頁簽,單擊測試函數右側的下拉式清單,選擇配置測試參數配置,測試參數樣本如下。

        {
   "endpoint": "http://oss-cn-hangzhou.aliyuncs.com",
   "bucket": "web****",
   "objectName": "myObj",
   "message": "your-message"
}

        上述樣本中,bucket需替換為與函數相同的地區下您已建立的bucket名稱。

      2. 代碼頁簽的代碼編輯器中,編寫代碼,然後單擊部署代碼

        以Python標準運行時為例,您可以使用Function Compute為您提供的臨時密鑰訪問Object Storage Service。

        import json
import oss2

def handler(event, context):
    evt = json.loads(event)
    creds = context.credentials
    # 輸入使用者臨時密鑰,包括臨時Token。
    # 阿里雲帳號AccessKey擁有所有API的存取權限,建議您使用RAM使用者進行API訪問或日常營運。
    # 建議不要把AccessKey ID和AccessKey Secret儲存到工程代碼裡,否則可能導致AccessKey泄露,威脅您帳號下所有資源的安全。
    # 本樣本以從上下文中擷取AccessKey/AccessSecretKey為例。
    auth = oss2.StsAuth(creds.access_key_id, creds.access_key_secret, creds.security_token)
    bucket = oss2.Bucket(auth, evt['endpoint'], evt['bucket'])
    bucket.put_object(evt['objectName'], evt['message'])
    return 'success'

      3. 單擊測試函數,執行成功後,登入Object Storage Service控制台,找到目標Bucket,您可以看到目標對象內容已替換為測試參數中message的內容。

      相關文檔

      • Function Compute3.0支援使用服務關聯角色最小化授權,關於服務關聯角色的權限原則內容,請參見AliyunServiceRoleForFC

      • 關於如何為目標函數配置角色,請參見建立函數