函数创建完成后,默认可以通过公网地址和阿里云内网地址调用函数。从安全性的角度出发,如果您希望函数只可以通过特定的VPC来调用,而无法通过公网和内网调用,则需要为服务绑定指定的VPC。本文介绍如何绑定一个指定的VPC以允许该VPC调用函数的操作步骤。

前提条件

您已完成以下操作:

注意事项

  • 同一个服务最多绑定20个VPC。
  • 设置仅允许指定VPC调用函数后,使用触发器调用函数不受影响。
  • VPC绑定后对服务的所有版本和别名生效。
  • 设置允许指定VPC调用函数后,会拒绝来自公网和其他VPC的调用请求,StatusCode为403,ErrorCodeAccessDenied,错误信息为Resource access is bound by VPC: VPCID
  • 只允许使用私网HTTP接入点绑定VPC,不允许使用公网接入点和私网HTTPS接入点绑定VPC。

绑定VPC

  1. 登录函数计算控制台
  2. 在顶部菜单栏,选择地域。
  3. 服务及函数页面,单击目标服务。然后单击服务配置,在服务配置页签,单击修改配置
    修改服务配置
  4. 配置服务页面的网络配置区域,打开仅允许指定VPC调用函数开关,并选择需要绑定的VPC。
    Allow Specified VPCs to Invoke Functions
  5. 可选:单击绑定,可绑定多个VPC。
  6. 权限配置区域,配置相关参数。
    • 若您还未创建角色
      1. 单击创建新角色,页面跳转至角色快捷创建页面。create-role
      2. 角色快捷创建页面,填写相关信息,然后单击同意授权role-information
    • 若您已创建了角色
      1. 权限配置区域的选择角色下拉框中选择需要授权的角色。imagefueupeizhi.png
      2. 策略详情区域,单击+添加新策略
      3. 添加策略对话框中的请选择系统模板列表中,添加您希望该角色拥有的权限策略,可多选。
      4. 单击RAM配置授权
      5. 角色快捷创建页面,填写策略名称,然后单击同意授权policy-information
  7. 单击提交
    操作完成后,此服务下的所有函数都只可以通过指定VPC调用。