控制面安全性

控制面流程包括函数权限控制、代码及配置的增删改查,主要包括函数元数据、代码、层和镜像缓存等安全传输及存储。本文介绍函数计算的控制面安全保障类型。

权限控制通过阿里云访问控制(RAM)服务保障安全

  • 事件源触发:用户需要为事件源创建触发器,并为触发器授予相应的执行权限才可以触发函数的执行。

  • 云服务访问:用户访问其他云服务,比如对象存储 OSS(Object Storage Service)日志服务 SLS(Simple Log Service)表格存储(Tablestore)时,需要授予相应的访问权限。

  • RAM用户(子账号)授权:函数计算借助RAM服务,支持为RAM用户(子账号)赋予不同的函数操作权限。

  • 跨账号授权:函数计算借助RAM服务,支持为他人账号赋予不同的函数操作权限。

函数元数据通过传输加密及存储加密保障安全

  • 函数计算API及内部通信均使用TLS 1.2及以上协议加密传输内容。

  • 函数的元数据通过AES256密文存储,使用时解密后的元数据缓存时间不超过600s。

代码及层缓存通过隔离,受控访问及传输加密保障安全

用户创建或更新函数时,使用OSS同步或API上传等方式,将代码上传至函数计算函数计算使用隔离的账号缓存代码或层至对象存储。初始化函数实例时,函数计算申请临时下载地址,下载至执行环境,通过虚拟化隔离技术,函数实例只能访问自身的代码及配置的层。

用户可通过调用API、控制台或工具等方式,使用合法的鉴权获取临时下载地址,自行下载代码或层。

代码或层在函数计算内部的传输均使用TLS 1.2及以上协议加密。

镜像缓存通过隔离,受控访问及传输加密保障安全

用户将容器镜像上传至函数计算时,将通过隔离的账号缓存至容器镜像服务ACR中,只有该账号有权限下载镜像。在初始化函数实例时,函数计算使用TLS 1.2及以上加密协议下载容器镜像。