可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托,包括普通云服务委托和云服务关联委托。本文介绍函数计算的服务内联委托。
什么是服务内联委托
在某些场景下,函数计算为了完成自身的某个功能,需要获取其他云服务的访问权限,因此,函数计算创建了与云服务内联委托,即服务内联委托CtyunServiceDelegateRoleForFC。函数计算支持CtyunServiceDelegateRoleForFC和FaaS函数的绑定,实现最小授权范围内授予函数访问其他云服务的权限。
使用函数计算时,系统提供的服务内联委托及其包含的系统权限策略如下:
- 服务内联委托:CtyunServiceDelegateRoleForFC
- 系统权限策略:CtyunServiceInlineDelegateRolePolicyForFC
CtyunServiceDelegateRoleForFC
服务内联委托CtyunServiceDelegateRoleForFC可以获取访函数列表、函数详情、创建函数、删除函数、更新函数以及调用函数的权限。
服务内联委托CtyunServiceDelegateRoleForFC被授予权限策略CtyunServiceInlineDelegateRolePolicyForFC,该权限策略的内容如下。
{
"Version": "1",
"Statement": [
{
"Action": [
"cf:inst:CreateFunction",
"cf:inst:UpdateFunction",
"cf:inst:ListFunction",
"cf:inst:GetFunction",
"cf:inst:InvokeFunction",
"cf:inst:DeleteFunction"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
以下是使用函数计算时,需要创建和使用服务内联委托的场景:
- 为函数计算配置专有网络VPC、交换机或弹性网卡等,提升数据安全性,实现VPC内的网络互通。
- 访问容器镜像仓库拉取镜像创建容器镜像函数,能够利用容器镜像资源灵活部署函数。
- 配置消息队列或事件总线等消息服务的访问权限,使用函数计算监听消息源的事件。当有新的消息或事件产生时,可以直接触发函数执行,实现事件驱动的计算模型。
- 配置日志服务相关权限,允许自动收集函数执行日志,便于日志的搜索、分析和可视化展示,帮助用户快速定位问题。
创建服务内联委托
登录函数计算控制台时,系统会检查当前账号是否已有服务内联委托CtyunServiceDelegateRoleForFC,如果不存在则会弹出提示,在您确认授权自动创建服务内联委托CtyunServiceDelegateRoleForFC并授权CtyunServiceInlineDelegateRolePolicyForFC后,系统自动创建CtyunServiceDelegateRoleForFC。
创建完成后,您可以在IAM控制台的角色管理页面、API或CLI调用ListDelegates - 获取委托列表的返回结果中查看已创建的服务内联委托。您还可以登录函数计算控制台,如果可以正常使用则表示已成功创建服务内联委托。
删除服务内联委托
您可以登录IAM控制台删除服务内联委托。删除后,将无法正常使用函数计算控制台,请谨慎操作。
-
使用IAM管理员登录IAM控制台。
-
在左侧导航栏,选择委托。
-
在委托页面,单击目标委托并操作删除委托。
-
在删除委托对话框,输入IAM委托名称,然后单击删除委托。
当您尝试删除一个服务内联委托时,IAM会先检查这个委托是否仍被云资源使用,如果被占用则会删除失败,可以根据删除失败的提示信息,查看哪些云资源在使用该委托。您需要找到对应的云资源并手动清理这些云资源,然后再删除该服务内联委托。
