Gunakan kelompok sumber daya untuk mengelola izin Function Compute berdasarkan kelompok - Function Compute

Anda dapat menggunakan kelompok sumber daya untuk mengelompokkan sumber daya Function Compute (FC) guna mempermudah pengelolaan. Kelompok sumber daya memungkinkan pengelompokan sumber daya berdasarkan dimensi seperti departemen, proyek, atau lingkungan. Saat digunakan bersama Resource Access Management (RAM), kelompok sumber daya membantu menerapkan isolasi sumber daya dan pengelolaan izin detail halus dalam satu Akun Alibaba Cloud.

Skenario

Sebuah perusahaan menggunakan Akun Alibaba Cloud-nya untuk membuat beberapa fungsi dan perlu memberikan izin atas fungsi-fungsi tersebut kepada tim yang berbeda berdasarkan kelompok bisnis. Setiap tim hanya boleh memiliki izin untuk melihat dan mengelola fungsi yang telah diotorisasi untuk mereka.

Contohnya:

Tim pengembangan hanya dapat mengelola fungsi di lingkungan pengembangan.
Tim O&M hanya dapat mengelola fungsi di lingkungan produksi.

Manfaat

Menggunakan kelompok sumber daya untuk memberikan izin atas fungsi berdasarkan kelompok memberikan manfaat berikut:

Pengelolaan izin yang disederhanakan: Kelompok sumber daya memungkinkan pengelolaan izin untuk beberapa fungsi secara terpusat, sehingga menghindari kompleksitas pemberian izin untuk setiap fungsi secara individual.
Pembagian sumber daya yang jelas: Kelompok sumber daya menyediakan cara intuitif untuk melihat pengelompokan sumber daya, sehingga menyederhanakan pengelolaan dan pemeliharaan.
Kontrol akses yang fleksibel: Anda dapat menerapkan kontrol akses detail halus berdasarkan kelompok sumber daya.
Isolasi yang aman: Tim yang berbeda hanya dapat mengakses kelompok sumber daya yang telah diotorisasi untuk mereka, sehingga menegakkan isolasi sumber daya.

Catatan Penggunaan

Satu kelompok sumber daya dapat berisi sumber daya di wilayah yang berbeda.
Jika Anda tidak menentukan kelompok sumber daya saat membuat sumber daya, sumber daya tersebut akan ditambahkan ke kelompok sumber daya default.
Sub-sumber daya suatu fungsi, seperti alias, pemicu, dan konfigurasi asinkron, mewarisi aturan kontrol akses dari fungsi tersebut.
Pengguna RAM harus memilih kelompok sumber daya yang benar di konsol untuk melihat dan mengelola fungsi yang sesuai.
Pastikan wilayah yang dipilih oleh Pengguna RAM untuk suatu operasi sama dengan wilayah tempat fungsi dalam kelompok sumber daya berada.

Prosedur

Contoh berikut menunjukkan cara membuat kelompok sumber daya untuk tim pengembangan dan memberikan izin kepada tim tersebut agar hanya dapat melihat dan mengelola fungsi tertentu.

Langkah 1: Buat Pengguna RAM dan kelompok pengguna

Gunakan Akun Alibaba Cloud Anda untuk melakukan langkah-langkah berikut:

Masuk ke Konsol RAM dan buat Pengguna RAM, misalnya developer.
Untuk informasi selengkapnya, lihat Buat Pengguna RAM.
Buat grup pengguna RAM, misalnya developer, lalu tambahkan Pengguna RAM yang telah dibuat ke grup pengguna tersebut.
Untuk informasi selengkapnya, lihat Buat grup pengguna RAM dan Tambahkan Pengguna RAM ke grup pengguna RAM.

Catatan

Pengguna RAM mewarisi semua izin dari grup pengguna tempat pengguna tersebut berada.

Langkah 2: Buat kelompok sumber daya

Masuk ke Konsol Resource Management dan buat kelompok sumber daya, misalnya dev. Untuk informasi selengkapnya, lihat Buat kelompok sumber daya.

Langkah 3: Tambahkan fungsi ke kelompok sumber daya

Anda dapat menambahkan fungsi ke kelompok sumber daya saat membuat fungsi tersebut. Untuk informasi selengkapnya, lihat Buat fungsi. Untuk menambahkan fungsi yang sudah ada ke kelompok sumber daya target, lakukan langkah-langkah berikut.

Masuk ke Konsol Function Compute. Di panel navigasi sebelah kiri, pilih Function Management > Functions.
Di bilah navigasi atas, pilih wilayah. Pada halaman Functions, klik fungsi target.
Pada halaman detail fungsi, klik tab Configurations. Di bagian Advanced Configuration > More Configurations, klik ikon di sebelah kelompok sumber daya.
Pada kotak dialog Modify Resource Group yang muncul, atur Resource Group ke kelompok sumber daya yang dibuat pada Langkah 2, lalu klik OK.

Anda juga dapat menambahkan fungsi ke kelompok sumber daya melalui Konsol Resource Management. Untuk informasi selengkapnya, lihat Kelola sumber daya dalam kelompok sumber daya.

Langkah 4: Berikan izin kepada grup pengguna RAM pada kelompok sumber daya

Masuk ke Konsol RAM. Di panel navigasi sebelah kiri, pilih Identities > Groups. Di kolom Actions dari grup pengguna target, klik Add Permissions.
Pada panel Add Permissions, atur Scope menjadi Resource Group, pilih kelompok sumber daya target, pilih kebijakan target di bagian Access Policy, misalnya AliyunFCFullAccess, lalu klik OK.
Penting
Dalam lingkungan produksi, ikuti Prinsip Hak Istimewa Minimum (PoLP). Buat kebijakan kustom untuk memberikan izin minimum yang diperlukan kepada Pengguna RAM guna mencegah risiko keamanan akibat izin berlebihan. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.

Langkah 5: Verifikasi hasil

Pengguna RAM masuk ke Konsol Function Compute. Di panel navigasi sebelah kiri, pilih Function Management > Functions.
Untuk informasi tentang cara Pengguna RAM masuk ke konsol, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM.
Di bilah menu atas, pilih wilayah yang sama dengan fungsi pada Langkah 3, lalu pilih kelompok sumber daya target, dev.
Pengguna RAM hanya dapat melihat fungsi dalam kelompok sumber daya setelah memilih kelompok sumber daya tersebut. Jika tidak, daftar fungsi akan kosong.
Di daftar fungsi, lihat dan kelola fungsi dalam kelompok sumber daya yang dipilih. Beralihlah ke kelompok sumber daya lain untuk memverifikasi bahwa Anda tidak dapat melihat fungsi yang tidak diotorisasi.

Konfigurasi otorisasi tambahan

Buat kebijakan kustom

Untuk mengikuti Prinsip Hak Istimewa Minimum (PoLP) dan memberikan izin detail halus yang diperlukan untuk penggunaan harian Function Compute—seperti izin atas layer dan nama domain kustom—Anda dapat membuat kebijakan kustom untuk memberikan izin kepada Pengguna RAM.

Gunakan Akun Alibaba Cloud Anda untuk masuk ke Konsol RAM dan buat kebijakan kustom, misalnya FCPolicyForDevelopers. Kode berikut menunjukkan isi kebijakan tersebut.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Query*",
        "log:CreateProject",
        "log:CreateLogStore",
        "log:CreateIndex"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fc:GetLayerVersionByArn",
        "fc:ListLayers",
        "fc:PutLayerACL",
        "fc:ListLayerVersions",
        "fc:CreateLayerVersion",
        "fc:DeleteLayerVersion",
        "fc:GetLayerVersion"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fc:ListCustomDomains",
        "fc:GetCustomDomain",
        "fc:DeleteCustomDomain",
        "fc:UpdateCustomDomain",
        "fc:CreateCustomDomain"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ram:ListRoles",
      "Resource": "*"
    }
  ]
}

Berikan kebijakan kustom FCPolicyForDevelopers kepada grup pengguna developer yang Anda buat pada Langkah 1.
Untuk informasi selengkapnya tentang cara memberikan izin kepada grup pengguna, lihat Berikan izin kepada grup pengguna RAM.

Izin untuk produk lain

Jika fungsi Anda perlu menggunakan produk Alibaba Cloud lainnya, Anda juga harus memberikan izin yang diperlukan untuk produk-produk tersebut. Misalnya, berikan kebijakan sistem seperti AliyunLogFullAccess untuk mengelola Simple Log Service (SLS), AliyunOSSFullAccess untuk mengelola Object Storage Service (OSS), dan AliyunNASFullAccess untuk mengelola File Storage NAS.

Untuk informasi selengkapnya, lihat Kebijakan akses Function Compute dan contohnya.

Function Compute：Mengonfigurasi kelompok sumber daya