本文介紹了執行角色的相關內容,包括建立權限原則和建立執行角色。
背景資訊
使用Serverless 工作流程構建應用時,您需要建立執行角色並授予相關許可權。Serverless 工作流程在執行流程時將扮演該角色,代表您訪問雲端服務,例如執行函數、發送訊息和執行流程。
Serverless 工作流程控制台讓您可以快速建立執行角色並賦予系統許可權。如果您想更細粒度的控制存取權限,例如只允許流程訪問Function Compute的某個或者某些函數,可以參考下面的介紹。
Serverless 工作流程使用存取控制RAM(Resource Access Management)基於角色的許可權管理機制。授權的基本原理如下:策略表示訪問某個服務的能力,為角色綁定指定策略,那麼角色就具有了訪問該服務的能力。當有第三方需要訪問這個服務的時候,只需要扮演具有訪問能力的角色即可。從而避免使用長期密鑰,讓系統變得更加安全。
建立權限原則
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
- 輸入權限原則內容,然後單擊下一步:編輯基本資料。關於權限原則文法結構的詳情,請參見權限原則文法和結構。下表提供一些常用許可權樣本。
說明 Effect Action Resource 允許訪問Test1服務下的Function函數 Allow fc:InvokeFunction acs:fc:::services/Test1/functions/Func1 允許訪問Test2服務下的所有函數 Allow fc:InvokeFunction acs:fc:::services/Test2/functions/* 允許訪問以Public開始的服務下的所有函數 Allow fc:InvokeFunction acs:fc:::services/Public*/functions/* 允許向Test1隊列發送訊息 Allow mns:SendMessage acs:mns:*:*:/queues/Test1/messages 允許執行流程Test1 Allow fnf:StartExecution acs:fnf:::flows/Test1/executions/* 輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
基礎權限原則最佳化
系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:進階權限原則最佳化
您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
單擊確定。