使用資源群組對Function Compute進行分組授權管理 - Function Compute

為了更高效地管理Function ComputeFC的資源，您可以使用資源群組對資源進行分組管理。資源群組使您能夠根據部門、專案、環境等維度對資源進行分組，並結合存取控制RAM，在單個阿里雲帳號內實現資源的隔離和精微調權限管理。

應用情境

某企業的阿里雲主帳號建立了多個函數，需要按業務分組將不同的函數授權給不同的團隊，企業希望每個團隊只能查看和管理被授權的函數，未被授權的函數不允許查看和管理。

例如：

Team Dev：只能管理開發環境相關的函數
營運團隊：只能管理生產環境相關的函數

方案優勢

使用資源群組進行函數分組授權具有以下優勢：

簡化許可權管理：通過資源群組統一管理多個函數的許可權，避免逐個函數授權的複雜性。
清晰的資源劃分：資源群組提供了直觀的資源分組視圖，便於管理和維護。
靈活的許可權控制：支援基於資源群組的細粒度許可權控制。
安全隔離：不同團隊只能訪問各自被授權的資源群組，實現資源隔離。

使用說明

一個資源群組可以包含不同地區的資源。
建立資源時如果未傳入資源群組資訊，該資源會被歸至預設資源群組中。
函數的子資源，如別名、觸發器、非同步配置等會繼承函數的許可權控制規則。
RAM使用者必須在控制台中選擇正確的資源群組，才能查看和管理對應的函數。
確保RAM使用者操作時選擇的地區與資源群組內函數所在地區一致。

操作步驟

以下將提供一個完整樣本，示範如何為Team Dev建立資源群組並授權，使其只能查看和管理指定的函數。

步驟一：建立RAM使用者和使用者組

使用阿里雲主帳號完成以下操作：

登入RAM控制台建立RAM使用者，如developer。
具體操作，請參見建立RAM使用者。
建立RAM使用者組，如developer，並將已建立的RAM使用者添加到RAM使用者組developer下。
具體操作，請參見建立RAM使用者組和為RAM使用者組添加RAM使用者。

說明

RAM使用者會繼承其所屬使用者組的所有許可權。

步驟二：建立資源群組

登入資源群組控制台，建立資源群組，如dev。具體操作，請參見建立資源群組。

步驟三：將函數加入資源群組

您可以在建立函數的同時，將其加入資源群組，詳見建立函數。如果是已有函數，參見以下步驟將函數接入目標資源群組。

登入Function Compute控制台，在左側導覽列，選擇函數管理 > 函數列表。
在頂部功能表列，選擇地區，然後在函數列表頁面，單擊目標函數。
在函數詳情頁，選擇配置頁簽，在下方找到進階配置 > 更多配置，然後單擊資源群組右側的表徵圖。
在彈出的修改資源群組對話方塊，選擇資源群組為步驟二建立的資源群組，然後單擊確認。

您也可以通過資源管理-資源群組控制台將函數加入資源群組，詳見管理資源群組中的資源。

步驟四：為RAM使用者組綁定資源群組

登入RAM控制台，在左側導覽列，選擇身份管理 > 使用者組，單擊目標使用者組右側操作列的添加許可權。
在新增授權面板，資源範圍選擇資源群組層級，,選擇目標資源群組，在權限原則地區，選擇目標策略名稱稱，如AliyunFCFullAccess，然後單擊確認新增授權。
重要
在實際業務環境中，建議您遵循最小化授權原則，通過建立自訂權限原則，按照最小授權原則授予RAM使用者權限，避免許可權過大帶來的安全風險。更多資訊，請參見建立自訂權限原則。

步驟五：結果驗證

RAM使用者登入Function Compute控制台，在左側導覽列，選擇函數管理 > 函數列表。
關於使用RAM使用者登入控制台的操作步驟，請參見RAM使用者登入阿里雲控制台。
在頂部功能表列，選擇與步驟三的函數相同的地區，然後選擇目標資源群組dev。
僅當RAM使用者選擇了對應資源群組後，才能看到資源群組內的函數，否則，函數列表為空白。
在函數列表中，查看和管理已選擇資源群組內的函數。嘗試切換到其他資源群組，驗證是否無法查看未授權的函數。

更多授權配置

建立自訂權限原則

為了遵循最小化授權原則以及滿足日常使用Function Compute所需的層功能、自訂網域名等更細粒度的許可權，建議通過建立自訂權限原則為RAM使用者授權。

使用阿里雲主帳號登入RAM控制台，建立自訂權限原則，如FCPolicyForDevelopers，策略內容如下。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Query*",
        "log:CreateProject",
        "log:CreateLogStore",
        "log:CreateIndex"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fc:GetLayerVersionByArn",
        "fc:ListLayers",
        "fc:PutLayerACL",
        "fc:ListLayerVersions",
        "fc:CreateLayerVersion",
        "fc:DeleteLayerVersion",
        "fc:GetLayerVersion"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fc:ListCustomDomains",
        "fc:GetCustomDomain",
        "fc:DeleteCustomDomain",
        "fc:UpdateCustomDomain",
        "fc:CreateCustomDomain"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ram:ListRoles",
      "Resource": "*"
    }
  ]
}

為步驟一建立的RAM使用者組developer，授予自訂權限原則FCPolicyForDevelopers。
關於為使用者組授權的具體操作，請參見為RAM使用者組授權。

額外產品許可權

如果您的函數需要使用其他阿里雲產品，還需要添加對應產品的相關許可權，例如管理Log ServiceSLS的系統策略AliyunLogFullAccess、管理Object Storage Service的系統策略AliyunOSSFullAccess和管理Apsara File Storage NAS的系統策略AliyunNASFullAccess等。

更多資訊，請參見權限原則及樣本。

Function Compute：配置資源群組