全部产品

权限模型

更新时间:2017-06-07 13:26:11   分享:   

在使用函数计算构建应用时,通常您需要管理各种权限。例如:

  • 当您想使用阿里云日志服务(SLS)收集函数运行日志时,您需要授权函数计算能将函数运行日志写入到您指定的日志库中。
  • 当您想使用阿里云对象存储服务(OSS) 触发器时,您需要授权 OSS 调用函数的权限。
  • 当您的函数需要访问账户中的阿里云资源时,例如 OSS 中的数据,您可以创建 RAM 角色并授予相关权限。函数计算在执行函数时将扮演该角色,代表您执行函数。

函数计算使用阿里云访问控制服务(RAM)的基于角色的权限管理机制。

服务角色

每个服务都有与之关联的 RAM 角色(Service Role)。您在创建/更新服务时,可以为服务指定角色。您授予此角色的权限,确定了函数计算在执行该服务下的函数时,拥有的权限。

调用角色

每个触发器都有与之关联的 RAM 角色(Invocation Role)。您在创建触发器时,需要为触发器指定角色。您授予此角色的权限,确定了事件源服务在事件发生时调用函数的权限。例如,OSS 服务需要获得您的授权,才能在事件发生时,调用关联的函数处理事件。

注意:创建 RAM 角色的用户实际上将权限传递到函数计算以扮演此角色,这需要用户具有 ram:PassRole 操作的权限。如果管理员用户创建此角色,则除了授予 ram:PassRole 操作权限之外,您无需执行任何操作,因为管理员用户具有完整权限,包括 ram:PassRole 操作。

本文导读目录
本文导读目录
以上内容是否对您有帮助?