Gunakan kelompok sumber daya untuk mengelompokkan dan memberikan otorisasi pada resource Function Compute - Function Compute

Gunakan kelompok sumber daya untuk mengorganisasi resource Function Compute (FC) Anda guna manajemen yang lebih efisien. Kelompok sumber daya memungkinkan Anda mengelompokkan resource berdasarkan dimensi seperti departemen, proyek, atau lingkungan. Dikombinasikan dengan Resource Access Management (RAM), kelompok sumber daya membantu Anda mengisolasi resource dan menerapkan pengelolaan izin detail halus dalam satu Akun Alibaba Cloud.

Kasus penggunaan

Sebuah perusahaan menggunakan satu Akun Alibaba Cloud untuk membuat beberapa fungsi dan perlu memberikan otorisasi kepada tim yang berbeda agar dapat mengakses kelompok fungsi tertentu. Perusahaan ingin memastikan bahwa setiap tim hanya dapat melihat dan mengelola fungsi yang telah diotorisasi untuk mereka.

Contohnya:

Tim development hanya dapat mengelola fungsi yang terkait dengan lingkungan development.
Tim operations hanya dapat mengelola fungsi yang terkait dengan lingkungan produksi.

Manfaat

Menggunakan kelompok sumber daya untuk memberikan izin pada fungsi memberikan manfaat berikut:

Pengelolaan izin yang disederhanakan: Kelola izin untuk beberapa fungsi secara terpusat melalui kelompok sumber daya, sehingga tidak perlu memberikan izin untuk setiap fungsi secara individual.
Organisasi resource yang jelas: Kelompok sumber daya memberikan tampilan intuitif atas resource Anda, menyederhanakan manajemen dan pemeliharaan.
Kontrol akses yang fleksibel: Menyediakan kontrol akses detail halus berbasis kelompok sumber daya.
Isolasi yang aman: Setiap tim hanya dapat mengakses kelompok sumber daya yang telah diotorisasi, memastikan isolasi resource.

Catatan penggunaan

Satu kelompok sumber daya dapat berisi resource dari wilayah yang berbeda.
Jika Anda tidak menentukan kelompok sumber daya saat membuat resource, resource tersebut akan ditambahkan ke kelompok sumber daya default.
Sub-resource suatu fungsi, seperti alias, pemicu, atau konfigurasi asinkron, mewarisi aturan kontrol akses fungsi tersebut.
RAM user harus memilih kelompok sumber daya yang sesuai di Konsol untuk melihat dan mengelola fungsi yang relevan.
Pastikan wilayah yang dipilih oleh RAM user sesuai dengan wilayah fungsi dalam kelompok sumber daya tersebut.

Prosedur

Contoh ini menunjukkan cara membuat kelompok sumber daya untuk tim development dan memberikan izin kepada mereka untuk hanya melihat dan mengelola fungsi tertentu.

Langkah 1: Buat RAM user dan grup

Gunakan Akun Alibaba Cloud Anda untuk menyelesaikan langkah-langkah berikut:

Login ke Konsol RAM untuk membuat RAM user, misalnya developer.

Untuk informasi selengkapnya, lihat Buat RAM user.
Buat RAM user group, misalnya developer, lalu tambahkan RAM user yang telah dibuat ke grup ini.

Untuk informasi selengkapnya, lihat Buat RAM user group dan Tambahkan RAM user ke RAM user group.

Catatan

RAM user mewarisi semua izin dari RAM user group tempatnya tergabung.

Langkah 2: Buat kelompok sumber daya

Login ke Konsol Resource Management dan buat kelompok sumber daya, misalnya dev. Untuk informasi selengkapnya, lihat Buat kelompok sumber daya.

Langkah 3: Tambahkan fungsi ke kelompok sumber daya

Anda dapat menambahkan fungsi ke kelompok sumber daya saat membuat fungsi tersebut. Untuk informasi selengkapnya, lihat Buat fungsi. Untuk menambahkan fungsi yang sudah ada ke kelompok sumber daya, ikuti langkah-langkah berikut:

Login ke Konsol Function Compute. Di panel navigasi kiri, pilih Function Management > Functions.
Di bilah navigasi atas, pilih wilayah. Di halaman Functions, klik fungsi target.
Di halaman detail fungsi, klik tab Configuration. Di bagian Advanced Settings > More Configurations, klik ikon di sebelah kelompok sumber daya.
Di kotak dialog Modify Resource Group, pilih kelompok sumber daya yang telah Anda buat di Langkah 2, lalu klik Confirm.

Alternatifnya, Anda juga dapat menambahkan fungsi ke kelompok sumber daya dari Konsol Resource Management. Untuk informasi selengkapnya, lihat Kelola resource dalam kelompok sumber daya.

Langkah 4: Berikan izin kepada grup pengguna

Masuk ke Konsol RAM. Di panel navigasi sebelah kiri, pilih . Pada kolom Actions untuk kelompok pengguna target, klik Add Permissions.
Di panel Attach Policy, atur Scope menjadi Resource Group, pilih kelompok sumber daya target, pilih kebijakan seperti AliyunFCFullAccess di bagian Policy, lalu klik OK.

Penting
Sebagai praktik keamanan terbaik, ikuti Hak Istimewa Minimum (PoLP). Buat kebijakan kustom yang hanya memberikan izin yang diperlukan bagi RAM user untuk menjalankan tugasnya. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.

Langkah 5: Verifikasi hasil

Login ke Konsol Function Compute sebagai RAM user. Di panel navigasi kiri, pilih Function Management > Functions.

Untuk informasi tentang cara login ke Konsol sebagai RAM user, lihat Login ke Konsol Manajemen Alibaba Cloud sebagai RAM user.
Di bilah navigasi atas, pilih wilayah yang sama dengan fungsi dari Langkah 3, lalu pilih kelompok sumber daya dev.

RAM user harus memilih kelompok sumber daya yang sesuai untuk melihat fungsi dalam daftar. Jika tidak, daftar akan tampak kosong.
Di halaman Functions, lihat dan kelola fungsi dalam kelompok sumber daya yang dipilih. Coba ganti ke kelompok sumber daya lain untuk memverifikasi bahwa Anda tidak dapat melihat fungsi di kelompok sumber daya yang tidak Anda miliki izin aksesnya.

Konfigurasi otorisasi tambahan

Buat kebijakan kustom

Untuk kontrol yang lebih detail halus atas resource Function Compute seperti layer dan domain kustom, kami merekomendasikan membuat kebijakan kustom untuk RAM user Anda. Pendekatan ini sejalan dengan Hak Istimewa Minimum (PoLP).

Login ke Konsol RAM dengan Akun Alibaba Cloud Anda dan buat kebijakan kustom bernama FCPolicyForDevelopers menggunakan isi kebijakan berikut.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Query*",
        "log:CreateProject",
        "log:CreateLogStore",
        "log:CreateIndex"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fc:GetLayerVersionByArn",
        "fc:ListLayers",
        "fc:PutLayerACL",
        "fc:ListLayerVersions",
        "fc:CreateLayerVersion",
        "fc:DeleteLayerVersion",
        "fc:GetLayerVersion"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fc:ListCustomDomains",
        "fc:GetCustomDomain",
        "fc:DeleteCustomDomain",
        "fc:UpdateCustomDomain",
        "fc:CreateCustomDomain"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ram:ListRoles",
      "Resource": "*"
    }
  ]
}

Berikan kebijakan kustom FCPolicyForDevelopers kepada RAM user group developer yang dibuat di Langkah 1.

Untuk informasi selengkapnya, lihat Berikan izin kepada RAM user group.

Izin untuk layanan Alibaba Cloud lainnya

Jika fungsi Anda perlu mengakses layanan Alibaba Cloud lainnya, Anda juga harus memberikan izin yang diperlukan untuk layanan tersebut. Contohnya termasuk kebijakan sistem AliyunLogFullAccess untuk Simple Log Service (SLS), AliyunOSSFullAccess untuk Object Storage Service (OSS), dan AliyunNASFullAccess untuk File Storage NAS.

Untuk informasi selengkapnya, lihat Kebijakan dan contoh.

Function Compute:Konfigurasi kelompok sumber daya