全部產品
Search
文件中心

CloudFlow:執行角色

更新時間:Dec 11, 2024

本文介紹了執行角色的相關內容,包括建立權限原則和建立執行角色。

背景資訊

使用CloudFlow構建應用時,您需要建立執行角色並授予相關許可權。CloudFlow在執行流程時將扮演該角色,代表您訪問雲端服務,例如執行函數、發送訊息和執行流程。

CloudFlow控制台讓您可以快速建立執行角色並賦予系統許可權。如果您想更細粒度的控制存取權限,例如只允許流程訪問Function Compute的某個或者某些函數,可以參考下面的介紹。

CloudFlow使用存取控制RAM(Resource Access Management)基於角色的許可權管理機制。授權的基本原理如下:策略表示訪問某個服務的能力,為角色綁定指定策略,那麼角色就具有了訪問該服務的能力。當有第三方需要訪問這個服務的時候,只需要扮演具有訪問能力的角色即可。從而避免使用長期密鑰,讓系統變得更加安全。

建立權限原則

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

  4. 建立權限原則頁面,單擊指令碼編輯頁簽。

  5. 輸入權限原則內容,然後單擊確定

    關於權限原則文法結構的詳情,請參見權限原則文法和結構。下表提供一些常用許可權樣本。

    說明

    Effect

    Action

    Resource

    允許訪問Test1服務下的Function函數

    Allow

    fc:InvokeFunction

    acs:fc:::services/Test1/functions/Func1

    允許訪問Test2服務下的所有函數

    Allow

    fc:InvokeFunction

    acs:fc:::services/Test2/functions/*

    允許訪問以Public開始的服務下的所有函數

    Allow

    fc:InvokeFunction

    acs:fc:::services/Public*/functions/*

    允許向Test1隊列發送訊息

    Allow

    mns:SendMessage

    acs:mns:*:*:/queues/Test1/messages

    允許執行流程Test1

    Allow

    fnf:StartExecution

    acs:fnf:::flows/Test1/executions/*

    檢查並最佳化權限原則內容。

    • 基礎權限原則最佳化

      系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:

      • 刪除不必要的條件。

      • 刪除不必要的數組。

    • 可選:進階權限原則最佳化

      您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

      • 拆分不相容操作的資源或條件。

      • 收縮資源到更小範圍。

      • 去重或合并語句。

  6. 輸入權限原則名稱備忘,然後單擊確定

建立執行角色

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊建立角色

  4. 建立角色面板的各頁簽,配置以下參數,然後單擊完成

    • 當前可信實體類型選擇阿里雲服務

    • 設定角色類型為普通服務角色

    • 設定角色名稱為FnFExecutionRole

    • 選擇受信服務為函數工作流程

  5. 添加上面建立的權限原則到角色FnFExecutionRole

    具體操作步驟,請參見為RAM角色授權

  6. 單擊已建立的角色,在基本資料地區複製角色ARN,以便在建立流程或者更新流程時使用。