Function Compute：配置許可權助手

背景資訊

許可權助手是一個產生RAM權限原則的工具，能夠協助您對Function Compute的許可權進行可視化配置，並在Function Compute控制台產生對應的RAM許可權語句。然後，您可以在RAM控制台建立對應的自訂權限原則，將權限原則的策略內容修改為Function Compute控制台產生的RAM許可權語句，並為需要該項許可權的RAM使用者授予許可權。

注意事項

• 當Function Compute發布新功能時，您需要重建RAM許可權語句，否則可能會導致原有權限原則下的RAM使用者不具備該新功能的許可權。
• 許可權助手功能僅用於Function Compute的服務、函數、層、網域名稱等粒度相關的權限原則配置，如您想要為帳號授予更多其他產品或更細粒度的許可權，請參見建立自訂權限原則。

前提條件

• 存取控制
  • 建立RAM使用者
• Function Compute
  • 建立服務
  • 建立函數

步驟一：在Function Compute控制台建立權限原則

1. 登入Function Compute控制台。

2. 在左側導覽列，選擇更多功能 > 許可權助手。
3. 在許可權助手頁面，單擊建立權限原則。
4. 在建立權限原則頁面的配置權限原則設定精靈頁面，設定相關參數並單擊下一步。
   
   1. 在基本配置地區，配置以下參數。

      參數	描述
      名稱	自訂權限原則的名稱。
      備忘	自訂權限原則的備忘說明。

   2. 可選：在Function Compute產品許可權地區，按需配置以下內容。
      1. 單擊+添加資源，在下拉式清單中依次選擇地區、服務和函數。
         說明 如果需要在所有地區下建立權限原則，地區下拉式清單請選擇所有地區。
      2. 在許可權模組的許可權模組和許可權列，選中目標模組複選框及其對應許可權等級。
         說明 支援按照服務、函數、層、網域名稱等粒度對Function Compute的許可權進行層級劃分。
      3. 可選：單擊+添加限制條件，在下拉式清單中依次選擇限制條件關鍵字、限定詞，然後輸入限制條件的值。

         關鍵字	限定詞	值
         請求時間	DataEquals DataNotEquals DataLessThan DataLessThanEquals DataGreaterThan DataGreaterThanEquals	發送請求時間。格式為ISO 8601，例如：2021-11-11T23:59:59Z。當選擇一個限定詞時，系統預設填入目前時間。
         安全通道	Bool	發送請求是否使用了安全通道。例如，HTTPS。 true：使用。 false：未使用。
         用戶端 IP	IpAddress NotIpAddress	用戶端IP地址。例如，10.0.XX.XX。
         多因素認證	Bool	您登入時是否使用了多因素認證，多因素認證是指使用兩種以上的認證方式進行登入。 true：使用。 false：未使用。

   3. 可選：在相關雲產品許可權地區，在許可權模組和許可權列，選擇目標雲產品複選框及其對應許可權等級。
      

      說明 如您需要給Function Compute授予訪問更多其他阿里雲服務的許可權，請參見授予Function Compute訪問其他雲端服務的許可權。
5. 在建立權限原則頁面的預覽權限原則設定精靈頁面，檢查產生的規則列表，然後單擊下一步。
   您可以在權限原則地區，對產生的RAM權限原則進行壓縮、格式化或複製。複製的RAM授權語句將用於步驟二：在RAM控制台建立自訂權限原則。
6. 在建立權限原則頁面的應用上線（RAM）設定精靈頁面，閱讀在RAM控制台相關操作指引，然後單擊完成。

步驟二：在RAM控制台建立自訂權限原則

在RAM控制台建立自訂權限原則，權限原則的內容需修改為步驟一產生的RAM權限原則。

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇許可權管理 > 權限原則。

3. 在權限原則頁面，單擊建立權限原則。

4. 在建立權限原則頁面，單擊指令碼編輯頁簽。

5. 輸入權限原則內容，然後單擊繼續編輯基本資料。

   關於權限原則文法結構的詳情，請參見權限原則文法和結構。

6. 輸入權限原則名稱和備忘。

7. 檢查並最佳化權限原則內容。

   • 基礎權限原則最佳化

     系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務：

     • 刪除不必要的條件。

     • 刪除不必要的數組。

   • 可選：進階權限原則最佳化

     您可以將滑鼠懸浮在可選：進階策略最佳化上，單擊執行，對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務：

     • 拆分不相容操作的資源或條件。

     • 收縮資源到更小範圍。

     • 去重或合并語句。

8. 單擊確定。

步驟三：在RAM控制台為RAM使用者添加授權

增加權限原則後，您需要在RAM控制台為需要該項許可權的RAM使用者授權。本文以在授權頁面為RAM使用者授權的方式為例，操作步驟如下所示。更多方式，請參見為RAM使用者授權。

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇許可權管理 > 授權。

3. 在授權頁面，單擊新增授權。

   

4. 在新增授權面板，為RAM使用者添加許可權。

   1. 選擇資源範圍。

      • 帳號層級：許可權在當前阿里雲帳號內生效。

      • 資源群組層級：許可權在指定的資源群組內生效。

        重要

        指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。

   2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。支援批量選中多個RAM使用者。

   3. 選擇權限原則。

      權限原則是一組存取權限的集合，分為以下兩種。支援批量選中多條權限原則。

      • 系統策略：由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。更多資訊，請參見支援RAM的雲端服務。

        說明

        系統會自動標識出高風險系統策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授權時，盡量避免授予不必要的高風險權限原則。

      • 自訂策略：由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊，請參見建立自訂權限原則。

   4. 單擊確認新增授權。

5. 單擊關閉。

更多資訊

除了Function Compute控制台，您還可以通過API或SDK配置許可權助手。更多資訊，請參見SDK列表。