コントロールプレーンワークフローには、機能の許可制御、およびコードと構成の追加、削除、変更、およびクエリが含まれます。 コントロールプレーンのワークフローには、主に、関数メタデータ、コード、レイヤー、イメージキャッシュなどのデータの安全な送信と保存が含まれます。 このトピックでは、Function Computeのコントロールプレーンでのセーフガードについて説明します。
RAMはユーザーIDとリソースアクセス権限を管理します
- イベントソースのトリガー: イベントソースのトリガーを作成し、関数の実行をトリガーする実行権限をトリガーに付与する必要があります。
- クラウドサービスアクセス: Object Storage service (OSS) 、Log Service、Tablestoreなどの他のクラウドサービスにアクセスするには、ユーザーに権限を付与する必要があります。
- RAMユーザー権限付与: RAM (Resource Access Management) を使用して、Function Computeの関数に対するさまざまな権限をRAMユーザーに付与できます。
- クロスアカウント権限付与: RAMを使用して、Function Computeの他のアカウントに関数に対するさまざまな権限を付与できます。
伝送暗号化とストレージ暗号化により、関数メタデータのセキュリティを確保
- TLS 1.2以降は、内部通信とFunction Compute APIの呼び出しを暗号化するために使用されます。
- AES256は、関数メタデータのストレージを暗号化するために使用されます。 復号化されたメタデータのキャッシュ時間は600秒以内です。
分離、アクセス制御、および伝送暗号化により、コードとレイヤーキャッシュのセキュリティが確保されます
ユーザーが関数を作成または更新すると、Object Storage Service (OSS) を使用するか、API操作を呼び出して、コードがfunction Computeにアップロードされます。 Function Computeは、分離されたアカウントを使用して、コードまたはレイヤーをObject Storage Service (OSS) にキャッシュします。 関数インスタンスが初期化されると、function Computeは一時的なダウンロードアドレスを申請し、コードとレイヤーを実行環境にダウンロードします。 仮想化分離を使用すると、関数インスタンスは独自のコードと構成されたレイヤーにのみアクセスできます。
ユーザーは、有効な資格情報を持つ一時的なダウンロードアドレスを取得した後、API操作を呼び出したり、コンソールを使用したり、ツールを使用したりして、コードまたはレイヤーをダウンロードできます。
TLS 1.2以降は、Function Computeのコードまたはレイヤーの送信を暗号化するために使用されます。
分離、アクセス制御、および伝送暗号化により、イメージキャッシュのセキュリティを確保
ユーザーがFunction Computeにコンテナーイメージをアップロードすると、コンテナーイメージは分離されたアカウントを使用してcontainer Registryにキャッシュされます。 このアカウントのみが画像をダウンロードする権限を持っています。 関数インスタンスを初期化するとき、function ComputeはTLS 1.2以降を使用してコンテナイメージをダウンロードします。