函数计算支持将相同作用的函数资源通过标签Tag归类,便于搜索和资源聚合。您还可以通过标签功能将函数进行分组,可以实现不同角色对不同分组的函数拥有不同的操作权限。本文介绍标签功能的使用说明、使用限制以及如何在函数计算控制台操作标签等。
使用说明
标签与函数资源之间是多对多的关系。
每个标签都由一对键值对组成。
标签可以是授权的一个条件,为一个确定范围内的资源做精细粒度授权。
函数下的资源,包括版本、别名和触发器均继承函数的标签。
只要API的调用上填写了函数,都支持标签鉴权。
函数的不同版本使用相同的标签,即标签修改影响的标签鉴权针对的是所有版本和别名的函数。
使用限制
标签键(Key)的最大长度为64个Unicode字符,区分大小写。
标签值(Value)的最大长度为128个Unicode字符,区分大小写。
每个资源的标签数不得超过20个。
标签键(Key)支持ASCII、数字、中文字符和特殊字符
-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_
。不支持中文标点符号,不支持以aliyun
或acs:
开头,不允许包含http://
和https://
,不允许为空字符串。标签值(Value)支持ASCII、数字、中文字符和特殊字符
-\.!@#$%?/^&*)(+={}[\\]",'<>~·`:;|_
。不支持中文标点符号,不允许包含http://
和https://
,允许为空字符串。各地域间的标签信息不互通。例如,在华东1(杭州)地域创建的标签在华东2(上海)地域不可见。
为函数绑定标签
登录函数计算控制台,在左侧导航栏,单击函数。
在顶部菜单栏,选择地域,然后在函数页面,找到目标函数。
光标移至目标函数标签列的
图标,在气泡中单击绑定,在编辑标签对话框中,填写标签键和标签值,然后单击确认。
添加成功后,光标再次移至目标函数标签列的
图标,您可以看到刚才添加的标签。您还可以根据需要,参考控制台界面提示,更新或删除标签。
如果目标函数是在函数计算2.0控制台创建的函数(函数名称中含有$符号),则不支持在3.0控制台为其绑定标签,请根据界面提示单击超链接跳转至2.0控制台的目标服务下,为服务绑定标签。
使用标签对函数分组授权
为遵循最小授权原则,请不要为RAM用户授予权限策略AliyunFCFullAccess
或AliyunFCReadOnlyAccess
等权限级别过高的策略,否则通过函数标签分组管理函数的功能将无法使用。
前提条件
已在函数计算控制台创建10个函数,并为其中5个函数添加一对标签,标签键team,标签值dev,为另外5个函数添加标签键team,标签值ops。具体操作,请参见为函数绑定标签。
操作步骤
在阿里云主账号下创建两个RAM用户。具体操作,请参见创建RAM用户。
创建dev和ops两个用户组。具体操作,请参见创建RAM用户组。
将已创建的两个RAM用户分别添加到用户组dev和ops下。具体操作,请参见为RAM用户组添加RAM用户。
为两个用户组dev和ops授予不同权限策略。
权限策略分为系统权限策略和自定义权限策略,根据实际场景选择合适的权限策略。本文以为用户组授予自定义权限策略为例进行介绍。
假设给dev团队创建的自定义策略名称为policyForDevTeam,策略示例如下。
{ "Statement": [ { "Action": "fc:*", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "fc:tag/team": "dev" } } }, { "Action": "fc:ListFunctions", "Effect": "Allow", "Resource": "*" }, { "Action": "fc:ListTagResources", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
假设给ops团队创建的自定义策略名称为policyForOpsTeam,策略示例如下。
{ "Statement": [ { "Action": "fc:*", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "fc:tag/team": "ops" } } }, { "Action": "fc:ListFunctions", "Effect": "Allow", "Resource": "*" }, { "Action": "fc:ListTagResources", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
分别为用户组dev和ops授予自定义权限策略policyForDevTeam和policyForOpsTeam。具体操作,请参见为RAM用户组授权。
分别使用两个RAM用户登录函数计算控制台验证结果。关于使用RAM用户登录控制台的操作步骤,请参见RAM用户登录阿里云控制台。
您可以看到从属于用户组dev的RAM用户仅拥有添加了标签
team:dev
的函数的操作权限,从属于用户组ops的RAM用户仅拥有添加了标签team:ops
的函数的操作权限。
- 本页导读 (1)
- 使用说明
- 使用限制
- 为函数绑定标签
- 使用标签对函数分组授权
- 前提条件
- 操作步骤