权限助手简化了函数计算相关的RAM权限策略配置,帮助您快速自定义权限和划分角色。本文介绍如何在函数计算控制台快速创建RAM权限策略草稿并在RAM控制台完成最终权限配置。

背景信息

权限助手是一个生成RAM权限策略的工具,能够协助您对函数计算的权限进行可视化配置,并在函数计算控制台生成对应的RAM权限语句。然后,您可以在RAM控制台创建对应的自定义权限策略,将权限策略的策略内容修改为函数计算控制台生成的RAM权限语句,并为需要该项权限的RAM用户授予权限。

注意事项

  • 函数计算发布新功能时,您需要重新生成RAM权限语句,否则可能会导致原有权限策略下的RAM用户不具备该新功能的权限。
  • 权限助手功能仅用于函数计算的服务、函数、层、域名等粒度相关的权限策略配置,如您想要为账号授予更多其他产品或更细粒度的权限,请参见创建自定义权限策略

前提条件

步骤一:在函数计算控制台创建权限策略

  1. 登录函数计算控制台
  2. 在左侧导航栏,选择更多功能 > 权限助手
  3. 权限助手页面,单击创建权限策略
  4. 创建权限策略页面的配置权限策略配置向导页面,设置相关参数并单击下一步
    create-policy
    1. 基本配置区域,配置以下参数。
      参数 描述
      名称 自定义权限策略的名称。
      备注 自定义权限策略的备注说明。
    2. 可选:函数计算产品权限区域,按需配置以下内容。
      1. 单击+添加资源,在下拉列表中依次选择地域服务函数
        说明 如果需要在所有地域下创建权限策略,地域下拉列表请选择所有地域。
      2. 权限模块权限模块权限列,选中目标模块复选框及其对应权限等级。produce-access
        说明 支持按照服务、函数、层、域名等粒度对函数计算的权限进行层级划分。
      3. 可选:单击+添加限制条件,在下拉列表中依次选择限制条件关键字限定词,然后输入限制条件的
        关键字 限定词
        请求时间
        • DataEquals
        • DataNotEquals
        • DataLessThan
        • DataLessThanEquals
        • DataGreaterThan
        • DataGreaterThanEquals
        		 发送请求时间。格式为ISO 8601,例如:2021-11-11T23:59:59Z。当选择一个限定词时,系统默认填入当前时间。
        安全信道 Bool 发送请求是否使用了安全信道。例如,HTTPS。
        • true:使用。
        • false:未使用。
        客户端 IP
        • IpAddress
        • NotIpAddress
        		 客户端IP地址。例如,10.0.XX.XX。
        多因素认证 Bool 您登录时是否使用了多因素认证,多因素认证是指使用两种以上的认证方式进行登录。
        • true:使用。
        • false:未使用。
    3. 可选:相关云产品权限区域,在权限模块权限列,选择目标云产品复选框及其对应权限等级。
      aliyun-access
      说明 如您需要给函数计算授予访问更多其他阿里云服务的权限,请参见授予函数计算访问其他云服务的权限
  5. 创建权限策略页面的预览权限策略配置向导页面,检查生成的规则列表,然后单击下一步
    您可以在权限策略区域,对生成的RAM权限策略进行压缩格式化复制。复制的RAM授权语句将用于步骤二:在RAM控制台创建自定义权限策略
  6. 创建权限策略页面的应用上线(RAM)配置向导页面,阅读在RAM控制台相关操作指引,然后单击完成

步骤二:在RAM控制台创建自定义权限策略

RAM控制台创建自定义权限策略,权限策略的内容需修改为步骤一生成的RAM权限策略。

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入权限策略内容,然后单击继续编辑基本信息
    关于权限策略语法结构的详情,请参见权限策略语法和结构
  6. 输入权限策略名称备注
  7. 检查并优化权限策略内容。
    • 基础权限策略优化

      系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

      • 删除不必要的条件。
      • 删除不必要的数组。
    • 可选:高级权限策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。
      • 收缩资源到更小范围。
      • 去重或合并语句。
  8. 单击确定

步骤三:在RAM控制台为RAM用户添加授权

增加权限策略后,您需要在RAM控制台为需要该项权限的RAM用户授权。本文以在授权页面为RAM用户授权的方式为例,操作步骤如下所示。更多方式,请参见为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 授权
  3. 授权页面,单击新增授权
  4. 新增授权页面,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户。
    3. 选择权限策略。
      说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
  5. 单击确定
  6. 单击完成

更多信息

除了函数计算控制台,您还可以通过API或SDK配置权限助手。更多信息,请参见SDK列表