标签管理

更新时间:2025-04-23 06:45:25

函数计算支持将相同作用的函数资源通过标签Tag归类,便于搜索和资源聚合。您还可以通过标签功能将函数进行分组,可以实现不同角色对不同分组的函数拥有不同的操作权限。本文介绍标签功能的使用说明、使用限制以及如何在函数计算控制台操作标签等。

使用说明

  • 标签与函数资源之间是多对多的关系。

  • 每个标签都由一对键值对组成。

  • 标签可以是授权的一个条件,为一个确定范围内的资源做精细粒度授权。

  • 函数下的资源,包括版本、别名和触发器均继承函数的标签。

    • 只要API的调用上填写了函数,都支持标签鉴权。

    • 函数的不同版本使用相同的标签,即标签修改影响的标签鉴权针对的是所有版本和别名的函数。

使用限制

  • 标签键(Key)的最大长度为64Unicode字符,区分大小写。

  • 标签值(Value)的最大长度为128Unicode字符,区分大小写。

  • 每个资源的标签数不得超过20个。

  • 标签键(Key)支持ASCII、数字、中文字符和特殊字符-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支持中文标点符号,不支持以aliyunacs:开头,不允许包含http://https://,不允许为空字符串。

  • 标签值(Value)支持ASCII、数字、中文字符和特殊字符-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_。不支持中文标点符号,不允许包含http://https://,允许为空字符串。

  • 各地域间的标签信息不互通。例如,在华东1(杭州)地域创建的标签在华东2(上海)地域不可见。

为函数绑定标签

  1. 登录函数计算控制台,在左侧导航栏,单击函数

  2. 在顶部菜单栏,选择地域,然后在函数页面,找到目标函数。

  3. 光标移至目标函数标签列的image图标,在气泡中单击绑定,在编辑标签对话框中,填写标签键标签值,然后单击确认

    添加成功后,光标再次移至目标函数标签列的标签图标,您可以看到刚才添加的标签。您还可以根据需要,参考控制台界面提示,更新或删除标签。

重要

如果目标函数是在函数计算2.0控制台创建的函数(函数名称中含有$符号),则不支持在3.0控制台为其绑定标签,请根据界面提示单击超链接跳转至2.0控制台的目标服务下,为服务绑定标签

image

使用标签对函数分组授权

重要

为遵循最小授权原则,请不要为RAM用户授予权限策略AliyunFCFullAccessAliyunFCReadOnlyAccess等权限级别过高的策略,否则通过函数标签分组管理函数的功能将无法使用。

前提条件

已在函数计算控制台创建10个函数,并为其中5个函数添加一对标签,标签键team,标签值dev,为另外5个函数添加标签键team,标签值ops。具体操作,请参见为函数绑定标签

操作步骤

  1. 在阿里云主账号下创建两个RAM用户。具体操作,请参见创建RAM用户

  2. 创建devops两个用户组。具体操作,请参见创建RAM用户组

  3. 将已创建的两个RAM用户分别添加到用户组devops下。具体操作,请参见RAM用户组添加RAM用户

  4. 为两个用户组devops授予不同权限策略。

    权限策略分为系统权限策略和自定义权限策略,根据实际场景选择合适的权限策略。本文以为用户组授予自定义权限策略为例进行介绍。

    1. 创建自定义权限策略

      假设给dev团队创建的自定义策略名称为policyForDevTeam,策略示例如下。

      {
          "Statement": [
              {
                  "Action": "fc:*",
                  "Effect": "Allow",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "fc:tag/team": "dev"
                      }
                  }
              },
              {
                  "Action": "fc:ListFunctions",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "fc:ListTagResources",
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }      

      假设给ops团队创建的自定义策略名称为policyForOpsTeam,策略示例如下。

      {
          "Statement": [
              {
                  "Action": "fc:*",
                  "Effect": "Allow",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "fc:tag/team": "ops"
                      }
                  }
              },
              {
                  "Action": "fc:ListFunctions",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "fc:ListTagResources",
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    2. 分别为用户组devops授予自定义权限策略policyForDevTeampolicyForOpsTeam。具体操作,请参见RAM用户组授权

  5. 分别使用两个RAM用户登录函数计算控制台验证结果。关于使用RAM用户登录控制台的操作步骤,请参见RAM用户登录阿里云控制台

    您可以看到从属于用户组devRAM用户仅拥有添加了标签team:dev的函数的操作权限,从属于用户组opsRAM用户仅拥有添加了标签team:ops的函数的操作权限。

  • 本页导读 (1)
  • 使用说明
  • 使用限制
  • 为函数绑定标签
  • 使用标签对函数分组授权
  • 前提条件
  • 操作步骤