Topik ini menjelaskan cara membuat kebijakan izin dan peran eksekusi.
Informasi latar belakang
Saat menggunakan CloudFlow untuk membangun aplikasi, Anda harus membuat peran eksekusi dan memberikan izin kepada peran tersebut. Saat CloudFlow mengeksekusi alur, ia mengasumsikan peran ini dan mengakses layanan cloud atas nama Anda, seperti mengeksekusi fungsi, mengirim pesan, dan menjalankan alur.
Anda dapat menggunakan Konsol CloudFlow untuk membuat peran eksekusi dan memberikan izin sistem kepada peran tersebut. Untuk kontrol akses yang lebih granular terhadap layanan, misalnya, agar alur hanya dapat mengakses satu atau beberapa fungsi di Function Compute, Anda perlu membuat kebijakan izin. Untuk informasi lebih lanjut, lihat pengenalan berikut.
CloudFlow menggunakan Resource Access Management (RAM) untuk mengimplementasikan manajemen izin berbasis peran. Berikut adalah penjelasan tentang bagaimana CloudFlow memberikan izin kepada pengguna RAM: Sebuah kebijakan menunjukkan kemampuan untuk mengakses layanan. Setelah kebijakan terikat pada sebuah peran, peran tersebut dapat mengakses layanan tersebut. Ketika pihak ketiga ingin mengakses layanan ini, mereka cukup mengasumsikan peran yang memiliki akses ke layanan tersebut. Pendekatan ini mencegah penggunaan kunci jangka panjang dan meningkatkan keamanan sistem.
Membuat kebijakan
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sisi kiri, pilih .
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab JSON.
Masukkan isi kebijakan dan klik OK.
Untuk informasi lebih lanjut tentang sintaksis dan struktur kebijakan RAM, lihat Struktur dan Sintaksis Kebijakan. Tabel berikut menjelaskan beberapa izin umum.
Deskripsi
Efek
Aksi
Sumber daya
Mengizinkan peran RAM mengakses fungsi Function dari layanan Test1.
Mengizinkan
fc:InvokeFunction
acs:fc:::services/Test1/functions/Func1
Mengizinkan peran RAM mengakses semua fungsi dari layanan Test2.
Mengizinkan
fc:InvokeFunction
acs:fc:::services/Test2/functions/*
Mengizinkan peran RAM mengakses semua fungsi dari layanan yang namanya dimulai dengan Public.
Mengizinkan
fc:InvokeFunction
acs:fc:::services/Public*/functions/*
Mengizinkan peran RAM mengirim pesan ke antrian Test1.
Mengizinkan
mns:SendMessage
acs:mns:*:*:/queues/Test1/messages
Mengizinkan peran RAM mengeksekusi alur Test1.
Mengizinkan
fnf:StartExecution
acs:fnf:::flows/Test1/executions/*
Periksa dan optimalkan isi kebijakan kustom.
Optimasi Dasar
Sistem secara otomatis mengoptimalkan pernyataan kebijakan. Operasi berikut dilakukan selama optimasi dasar:
Hapus kondisi yang tidak diperlukan.
Hapus array yang tidak diperlukan.
(Opsional) Optimasi Lanjutan
Anda dapat memindahkan pointer ke Optional: advanced optimize dan klik Perform. Operasi berikut dilakukan selama optimasi lanjutan:
Pisahkan sumber daya atau kondisi yang tidak kompatibel dengan tindakan.
Persempit sumber daya.
Hapus duplikat atau gabungkan pernyataan kebijakan.
Tentukan parameter Name dan Note, lalu klik OK.
Membuat peran eksekusi
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sisi kiri, pilih .
Pada halaman Roles, klik Create Role.
Pada halaman Create Role, atur Principal Type ke Cloud Service, pilih layanan Alibaba Cloud untuk parameter Nama Principal, lalu klik OK.
CatatanLayanan Alibaba Cloud yang tersedia untuk parameter Principal Name bergantung pada Konsol RAM.
Dalam kotak dialog Create Role, konfigurasikan parameter Role Name dan klik OK.
Lampirkan kebijakan yang Anda buat ke peran FnFExecutionRole.
Untuk informasi lebih lanjut, lihat Memberikan Izin kepada Peran RAM.
Klik peran eksekusi yang Anda buat. Salin Nama Sumber Daya Alibaba Cloud (ARN) dari peran di bagian Basic Information. ARN akan digunakan saat membuat atau memperbarui alur.