本文介紹了執行角色的相關內容,包括建立權限原則和建立執行角色。
背景資訊
使用CloudFlow構建應用時,您需要建立執行角色並授予相關許可權。CloudFlow在執行流程時將扮演該角色,代表您訪問雲端服務,例如執行函數、發送訊息和執行流程。
CloudFlow控制台讓您可以快速建立執行角色並賦予系統許可權。如果您想更細粒度的控制存取權限,例如只允許流程訪問Function Compute的某個或者某些函數,可以參考下面的介紹。
CloudFlow使用存取控制RAM(Resource Access Management)基於角色的許可權管理機制。授權的基本原理如下:策略表示訪問某個服務的能力,為角色綁定指定策略,那麼角色就具有了訪問該服務的能力。當有第三方需要訪問這個服務的時候,只需要扮演具有訪問能力的角色即可。從而避免使用長期密鑰,讓系統變得更加安全。
建立權限原則
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
輸入權限原則內容,然後單擊確定。
關於權限原則文法結構的詳情,請參見權限原則文法和結構。下表提供一些常用許可權樣本。
說明
Effect
Action
Resource
允許訪問Test1服務下的Function函數
Allow
fc:InvokeFunction
acs:fc:::services/Test1/functions/Func1
允許訪問Test2服務下的所有函數
Allow
fc:InvokeFunction
acs:fc:::services/Test2/functions/*
允許訪問以Public開始的服務下的所有函數
Allow
fc:InvokeFunction
acs:fc:::services/Public*/functions/*
允許向Test1隊列發送訊息
Allow
mns:SendMessage
acs:mns:*:*:/queues/Test1/messages
允許執行流程Test1
Allow
fnf:StartExecution
acs:fnf:::flows/Test1/executions/*
檢查並最佳化權限原則內容。
基礎權限原則最佳化
系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:進階權限原則最佳化
您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
輸入權限原則名稱和備忘,然後單擊確定。