Function Compute:関数ロールを使用して Function Compute に他の Alibaba Cloud サービスへのアクセス権を付与する

ステップ 1: ロールを作成して権限を付与する

1. Resource Access Management (RAM) コンソールにログインします。左側のナビゲーションウィンドウで、[ロール] > [ロールの作成] を選択します。

2. [ロールの作成] ページで、[信頼できるエンティティタイプ] を [Alibaba Cloud サービス] に設定し、[信頼できるサービス] を [Function Compute/FC] に設定します。次に、[OK] をクリックします。

3. [ロールの作成] ダイアログボックスで、[ロール名] に mytestrole などの値を設定し、[OK] をクリックします。ロールの詳細ページにリダイレクトされます。

4. [権限管理] タブで、[権限の追加] をクリックします。表示される [権限の追加] パネルで、ロールに必要な権限を付与します。

   [リソース範囲] を選択します。[プリンシパル] は、デフォルトでターゲットロールです。ポリシーリストで、アタッチするシステムポリシーまたはカスタムポリシーの横にあるチェックボックスを選択します。ポリシーは、右側の [選択済み] リストに自動的に追加されます。次に、[OK] をクリックします。詳細については、「アクセスポリシーと例」をご参照ください。

   • [アカウントレベル]: 権限は現在の Alibaba Cloud アカウント内で有効になります。

   • [リソースグループレベル]: 権限は指定されたリソースグループ内で有効になります。Alibaba Cloud サービスがリソースグループをサポートしている場合にのみ、リソースグループに権限を付与できます。詳細については、「リソースグループをサポートする Alibaba Cloud サービス」をご参照ください。

   この例では、目標は OSS を管理することなので、AliyunOSSFullAccess システムポリシーをロールに追加する必要があります。

   

ステップ 2: ロールを宛先関数にアタッチする

1. Function Compute コンソールにログインします。左側のナビゲーションウィンドウで、[関数] をクリックします。

2. 上部のナビゲーションバーで、リージョンを選択します。[関数] ページで、関数を見つけて [アクション] 列の [設定] をクリックします。

3. 関数の詳細ページで、[設定] タブをクリックします。[高度な設定] セクションで、[編集] をクリックします。[高度な設定] パネルで、[権限] を展開します。[関数ロール] ドロップダウンリストから、ステップ 1 で作成したロールである mytestrole を選択します。次に、[デプロイ] をクリックします。

ステップ 3: 関数をテストする

関数をテストして、アタッチされた mytestrole ロールが OSS を管理するために必要な権限を付与していることを確認します。

1. [関数] ページで、関数の名前をクリックします。関数の詳細ページで、[コード] タブをクリックします。[関数のテスト] の横にある矢印をクリックし、[テストパラメーターの設定] を選択します。

   {
      "endpoint": "http://oss-cn-hangzhou.aliyuncs.com",
      "bucket": "web****",
      "objectName": "myObj",
      "message": "your-message"
   }

   上記のコードで、bucket をお使いのバケットの名前に置き換えます。バケットは関数と同じリージョンにある必要があります。

2. [コード] タブで、エディターにコードを入力し、[コードのデプロイ] をクリックします。

   次の例は、組み込み Python ランタイムの使用方法を示しています。Function Compute によって提供される一時的なトークンを使用して OSS にアクセスできます。

   import json
   import oss2
   
   def handler(event, context):
       evt = json.loads(event)
       creds = context.credentials
       # 一時的な認証情報 (一時的なトークンを含む)。
       # Alibaba Cloud アカウントの AccessKey ペアは、すべての API 操作に対する権限を持っています。RAM ユーザーを使用して API 呼び出しを行うか、日常の O&M を実行してください。
       # プロジェクトコードに AccessKey ID と AccessKey Secret をハードコーディングしないでください。ハードコーディングすると、AccessKey ペアが漏洩し、アカウント内のすべてのリソースのセキュリティが損なわれる可能性があります。
       # この例では、コンテキストから AccessKey ID と AccessKey Secret を取得する方法を示します。
       auth = oss2.StsAuth(creds.access_key_id, creds.access_key_secret, creds.security_token)
       bucket = oss2.Bucket(auth, evt['endpoint'], evt['bucket'])
       bucket.put_object(evt['objectName'], evt['message'])
       return 'success'

3. [関数のテスト] をクリックします。関数が実行された後、OSS コンソールにログインし、指定されたバケットに移動します。オブジェクトのコンテンツが、テストパラメーターの message パラメーターの値に置き換えられていることを確認します。