管理标签

使用说明

• 标签与服务资源是多对多的关系。
• 每个标签都由一对键值对组成。
• 标签可以是授权的一个条件，为一个确定范围内的资源做精细粒度授权。
• 服务下的资源，版本、别名、函数和触发器均继承服务的标签。
  • 只要API的调用上填写了服务，都支持标签鉴权。
  • 不同版本的服务都是相同的标签meta，即标签修改影响的标签鉴权针对的是所有版本和别名的服务。

使用限制

• 标签键（Key）的最大长度为64个Unicode字符，区分大小写。
• 标签值（Value）的最大长度为128个Unicode字符，区分大小写。
• 每个资源的标签数不得超过20个。
• 标签键（Key）支持ASCII、数字、中文字符和特殊字符-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支持中文标点符号，不支持以aliyun或acs:开头，不允许包含http://和https://，不允许为空字符串。
• 标签值（Value）支持ASCII、数字、中文字符和特殊字符-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支持中文标点符号，不允许包含http://和https://，不允许为空字符串。
• 各地域间的标签信息不互通。例如，在华东1（杭州）地域创建的标签在华东2（上海）地域不可见。

新建标签

1. 登录函数计算控制台，在左侧导航栏，单击服务及函数。
2. 在顶部菜单栏，选择地域，然后在服务列表页面，单击目标服务。
3. 在左侧导航栏，单击服务详情。
4. 在基础信息区域，将鼠标移至标签后的图标，然后在气泡中单击绑定。
5. 在编辑服务标签对话框，填写标签键和标签值，单击确认，然后单击关闭。
   完成新建标签后，将鼠标再次移至服务详情页面的图标，您可以看到刚才新建的标签。您还可以根据需要，参考控制台界面提示，更新或删除标签。

使用标签对服务分组授权

假设您创建了10个函数计算的服务，需要将5个服务授权给dev团队，另外5个服务授权给ops团队。您希望每个团队只能查看被授权的服务，未被授权的服务无法查看。此时，您可以通过标签功能将各团队进行分组，然后给不同分组的团队授予不同的权限。您需给其中5个服务添加一对标签，标签键是team，标签值是dev；另外5个服务添加另一对标签，标签键是team，标签值是ops。

1. 将5个授权给dev团队的服务打上team:dev标签，5个授权给ops团队的服务打上team:ops标签。具体操作，请参见新建标签。
2. 创建RAM用户。
3. 创建用户组。
   创建dev和ops两个用户组。
4. 为用户组添加RAM用户。
   将不同的RAM用户添加到相应的用户组下。
5. 为两个用户组授予不同的权限。
   权限策略分为系统权限策略和自定义权限策略，根据实际场景选择合适的权限策略。
   • 为用户组授予系统权限策略。

     具体操作，请参见为用户组授权。

   • 为用户组授予自定义权限策略。
     1. 创建自定义权限策略。
        假设给dev团队创建的自定义策略名称为policyForDevTeam，策略示例如下。

        {
            "Statement": [
                {
                    "Action": "fc:*",
                    "Effect": "Allow",
                    "Resource": "*",
                    "Condition": {
                        "StringEquals": {
                            "fc:tag/team": "dev"
                        }
                    }
                },
                {
                    "Action": "fc:ListServices",
                    "Effect": "Allow",
                    "Resource": "*"
                },
                {
                    "Action": "fc:GetResourceTags",
                    "Effect": "Allow",
                    "Resource": "*"
                }
            ],
            "Version": "1"
        }         

        假设给ops团队创建的自定义策略名称为policyForOpsTeam，策略示例如下。

        {
            "Statement": [
                {
                    "Action": "fc:*",
                    "Effect": "Allow",
                    "Resource": "*",
                    "Condition": {
                        "StringEquals": {
                            "fc:tag/team": "ops"
                        }
                    }
                },
                {
                    "Action": "fc:ListServices",
                    "Effect": "Allow",
                    "Resource": "*"
                },
                {
                    "Action": "fc:GetResourceTags",
                    "Effect": "Allow",
                    "Resource": "*"
                }
            ],
            "Version": "1"
        }          

     2. 为用户组授权。

        选择权限时请选择刚创建好的自定义策略。

   完成授权后，处于dev用户组的RAM账号只能操作标签为team:dev的服务，处于ops用户组的RAM账号只能操作标签为team:ops的服务。