使用函数角色授予函数计算访问其他云服务的权限

步骤一：创建角色并授权

1. 登录RAM控制台，在左侧导航栏，选择角色 > 创建角色。

2. 在创建角色页面，选择可信主体类型为云服务，选择信任主体名称为函数计算/FC，然后单击确定。

3. 在弹出的创建角色对话框，设置角色名称，如mytestrole，然后单击确定，跳转到角色详情页面。

4. 在权限管理页签，单击新增授权，在新增授权面板，按照以下步骤操作为角色授权。

   选择资源范围，授权主体默认为选择的目标角色，选择所需系统策略或自定义策略，勾选对应策略左侧的复选框，将自动将其添加到右侧已选择权限策略列表，然后单击确认新增授权。更多信息，请参见权限策略及示例。

   • 账号级别：权限在当前阿里云账号内生效。

   • 资源组级别：权限在指定的资源组内生效。指定资源组授权生效的前提是该云服务已支持资源组。更多信息，请参见支持资源组的云服务。

   本文示例为管理对象存储OSS，因此，您需要为新建角色增加系统策略AliyunOSSFullAccess。

   

步骤二：为目标函数绑定角色

1. 登录函数计算控制台，在左侧导航栏，单击函数。

2. 在顶部菜单栏，选择地域，然后在函数页面，单击目标函数操作列的配置。

3. 在函数详情页面，选择配置页签，单击下方高级配置区域右侧的编辑，在高级配置面板，展开权限，函数角色选择步骤一创建并授予管理OSS权限的角色mytestrole，然后单击部署。

步骤三：测试函数

测试已绑定角色mytestrole的函数是否有管理OSS的权限。

1. 在函数列表，单击目标函数，然后选择代码页签，单击测试函数右侧的下拉列表，选择配置测试参数，测试参数示例如下。

   {
      "endpoint": "http://oss-cn-hangzhou.aliyuncs.com",
      "bucket": "web****",
      "objectName": "myObj",
      "message": "your-message"
   }

   上述示例中，bucket需替换为与函数相同的地域下您已创建的bucket名称。

2. 在代码页签的代码编辑器中，编写代码，然后单击部署代码。

   以Python内置运行时为例，您可以使用函数计算为您提供的临时密钥访问对象存储OSS。

   import json
   import oss2
   
   def handler(event, context):
       evt = json.loads(event)
       creds = context.credentials
       # 输入用户临时密钥，包括临时Token。
       # 阿里云账号AccessKey拥有所有API的访问权限，建议您使用RAM用户进行API访问或日常运维。
       # 建议不要把AccessKey ID和AccessKey Secret保存到工程代码里，否则可能导致AccessKey泄露，威胁您账号下所有资源的安全。
       # 本示例以从上下文中获取AccessKey/AccessSecretKey为例。
       auth = oss2.StsAuth(creds.access_key_id, creds.access_key_secret, creds.security_token)
       bucket = oss2.Bucket(auth, evt['endpoint'], evt['bucket'])
       bucket.put_object(evt['objectName'], evt['message'])
       return 'success'

3. 单击测试函数，执行成功后，登录对象存储OSS控制台，找到目标Bucket，您可以看到目标对象内容已替换为测试参数中message的内容。