執(zhí)行角色
本文介紹了執(zhí)行角色的相關(guān)內(nèi)容,包括創(chuàng)建權(quán)限策略和創(chuàng)建執(zhí)行角色。
背景信息
使用云工作流構(gòu)建應(yīng)用時(shí),您需要?jiǎng)?chuàng)建執(zhí)行角色并授予相關(guān)權(quán)限。云工作流在執(zhí)行流程時(shí)將扮演該角色,代表您訪問(wèn)云服務(wù),例如執(zhí)行函數(shù)、發(fā)送消息和執(zhí)行流程。
云工作流控制臺(tái)讓您可以快速創(chuàng)建執(zhí)行角色并賦予系統(tǒng)權(quán)限。如果您想更細(xì)粒度的控制訪問(wèn)權(quán)限,例如只允許流程訪問(wèn)函數(shù)計(jì)算的某個(gè)或者某些函數(shù),可以參考下面的介紹。
云工作流使用訪問(wèn)控制RAM(Resource Access Management)基于角色的權(quán)限管理機(jī)制。授權(quán)的基本原理如下:策略表示訪問(wèn)某個(gè)服務(wù)的能力,為角色綁定指定策略,那么角色就具有了訪問(wèn)該服務(wù)的能力。當(dāng)有第三方需要訪問(wèn)這個(gè)服務(wù)的時(shí)候,只需要扮演具有訪問(wèn)能力的角色即可。從而避免使用長(zhǎng)期密鑰,讓系統(tǒng)變得更加安全。
創(chuàng)建權(quán)限策略
- 使用阿里云賬號(hào)登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在權(quán)限策略頁(yè)面,單擊創(chuàng)建權(quán)限策略。
在創(chuàng)建權(quán)限策略頁(yè)面,單擊腳本編輯頁(yè)簽。
輸入權(quán)限策略內(nèi)容,然后單擊下一步:編輯基本信息。
關(guān)于權(quán)限策略語(yǔ)法結(jié)構(gòu)的詳情,請(qǐng)參見(jiàn)權(quán)限策略語(yǔ)法和結(jié)構(gòu)。下表提供一些常用權(quán)限示例。
說(shuō)明
Effect
Action
Resource
允許訪問(wèn)Test1服務(wù)下的Function函數(shù)
Allow
fc:InvokeFunction
acs:fc:::services/Test1/functions/Func1
允許訪問(wèn)Test2服務(wù)下的所有函數(shù)
Allow
fc:InvokeFunction
acs:fc:::services/Test2/functions/*
允許訪問(wèn)以Public開(kāi)始的服務(wù)下的所有函數(shù)
Allow
fc:InvokeFunction
acs:fc:::services/Public*/functions/*
允許向Test1隊(duì)列發(fā)送消息
Allow
mns:SendMessage
acs:mns:*:*:/queues/Test1/messages
允許執(zhí)行流程Test1
Allow
fnf:StartExecution
acs:fnf:::flows/Test1/executions/*
輸入權(quán)限策略名稱和備注。
檢查并優(yōu)化權(quán)限策略內(nèi)容。
基礎(chǔ)權(quán)限策略優(yōu)化
系統(tǒng)會(huì)對(duì)您添加的權(quán)限策略語(yǔ)句自動(dòng)進(jìn)行基礎(chǔ)優(yōu)化。基礎(chǔ)權(quán)限策略優(yōu)化會(huì)完成以下任務(wù):
刪除不必要的條件。
刪除不必要的數(shù)組。
可選:高級(jí)權(quán)限策略優(yōu)化
您可以將鼠標(biāo)懸浮在可選:高級(jí)策略優(yōu)化上,單擊執(zhí)行,對(duì)權(quán)限策略內(nèi)容進(jìn)行高級(jí)優(yōu)化。高級(jí)權(quán)限策略優(yōu)化功能會(huì)完成以下任務(wù):
拆分不兼容操作的資源或條件。
收縮資源到更小范圍。
去重或合并語(yǔ)句。
單擊確定。
創(chuàng)建執(zhí)行角色
- 使用阿里云賬號(hào)登錄RAM控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,選擇 。
- 在角色頁(yè)面,單擊創(chuàng)建角色。
在創(chuàng)建角色面板的各頁(yè)簽,配置以下參數(shù),然后單擊完成。
當(dāng)前可信實(shí)體類型選擇阿里云服務(wù)。
設(shè)置角色類型為普通服務(wù)角色。
設(shè)置角色名稱為FnFExecutionRole。
選擇受信服務(wù)為函數(shù)工作流。
添加上面創(chuàng)建的權(quán)限策略到角色FnFExecutionRole。
具體操作步驟,請(qǐng)參見(jiàn)為RAM角色授權(quán)。
單擊已創(chuàng)建的角色,在基本信息區(qū)域復(fù)制角色ARN,以便在創(chuàng)建流程或者更新流程時(shí)使用。