为函数添加自定义标签以便进行精细化管理_函数计算(FC)-阿里云帮助中心

函数计算支持将相同作用的函数资源通过标签Tag归类，便于搜索和资源聚合。您还可以通过标签功能将函数进行分组，可以实现不同角色对不同分组的函数拥有不同的操作权限。本文介绍标签功能的使用说明、使用限制以及如何在函数计算控制台操作标签等。

使用说明

标签与函数资源之间是多对多的关系。
每个标签都由一对键值对组成。
标签可以是授权的一个条件，为一个确定范围内的资源做精细粒度授权。
函数下的资源，包括版本、别名和触发器均继承函数的标签。
- 只要API的调用上填写了函数，都支持标签鉴权。
- 函数的不同版本使用相同的标签，即标签修改影响的标签鉴权针对的是所有版本和别名的函数。

使用限制

标签键（Key）的最大长度为64个Unicode字符，区分大小写。
标签值（Value）的最大长度为128个Unicode字符，区分大小写。
每个资源的标签数不得超过20个。
标签键（Key）支持ASCII、数字、中文字符和特殊字符-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支持中文标点符号，不支持以aliyun或acs:开头，不允许包含http://和https://，不允许为空字符串。
标签值（Value）支持ASCII、数字、中文字符和特殊字符-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支持中文标点符号，不允许包含http://和https://，允许为空字符串。
各地域间的标签信息不互通。例如，在华东1（杭州）地域创建的标签在华东2（上海）地域不可见。

为函数绑定标签

登录函数计算控制台，在左侧导航栏，单击函数。
在顶部菜单栏，选择地域，然后在函数页面，找到目标函数。
光标移至目标函数标签列的图标，在气泡中单击绑定，在编辑标签对话框中，填写标签键和标签值，然后单击确认。
添加成功后，光标再次移至目标函数标签列的图标，您可以看到刚才添加的标签。您还可以根据需要，参考控制台界面提示，更新或删除标签。

重要

如果目标函数是在函数计算2.0控制台创建的函数（函数名称中含有$符号），则不支持在3.0控制台为其绑定标签，请根据界面提示单击超链接跳转至2.0控制台的目标服务下，为服务绑定标签。

使用标签对函数分组授权

重要

为遵循最小授权原则，请不要为RAM用户授予权限策略AliyunFCFullAccess或AliyunFCReadOnlyAccess等权限级别过高的策略，否则通过函数标签分组管理函数的功能将无法使用。

前提条件

已在函数计算控制台创建10个函数，并为其中5个函数添加一对标签，标签键team，标签值dev，为另外5个函数添加标签键team，标签值ops。具体操作，请参见为函数绑定标签。

操作步骤

在阿里云主账号下创建两个RAM用户。具体操作，请参见创建RAM用户。
创建dev和ops两个用户组。具体操作，请参见创建RAM用户组。
将已创建的两个RAM用户分别添加到用户组dev和ops下。具体操作，请参见为RAM用户组添加RAM用户。

为两个用户组dev和ops授予不同权限策略。

权限策略分为系统权限策略和自定义权限策略，根据实际场景选择合适的权限策略。本文以为用户组授予自定义权限策略为例进行介绍。

创建自定义权限策略。

假设给dev团队创建的自定义策略名称为policyForDevTeam，策略示例如下。

{
    "Statement": [
        {
            "Action": "fc:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "fc:tag/team": "dev"
                }
            }
        },
        {
            "Action": "fc:ListFunctions",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "fc:ListTagResources",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

假设给ops团队创建的自定义策略名称为policyForOpsTeam，策略示例如下。

{
    "Statement": [
        {
            "Action": "fc:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "fc:tag/team": "ops"
                }
            }
        },
        {
            "Action": "fc:ListFunctions",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "fc:ListTagResources",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

分别为用户组dev和ops授予自定义权限策略policyForDevTeam和policyForOpsTeam。具体操作，请参见为RAM用户组授权。

分别使用两个RAM用户登录函数计算控制台验证结果。关于使用RAM用户登录控制台的操作步骤，请参见RAM用户登录阿里云控制台。
您可以看到从属于用户组dev的RAM用户仅拥有添加了标签team:dev的函数的操作权限，从属于用户组ops的RAM用户仅拥有添加了标签team:ops的函数的操作权限。