函数工作流 FUNCTIONGRAPH-权限管理:FunctionGraph权限
下载函数工作流 FUNCTIONGRAPH用户手册完整版
FunctionGraph权限
默认情况下,新建的 IAM 用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。
FunctionGraph资源通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在各区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问FunctionGraph时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
如表1所示,包括了FunctionGraph的所有系统权限。
|
系统角色/策略名称 |
描述 |
类别 |
依赖关系 |
|---|---|---|---|
|
FunctionGraph Administrator |
函数工作流 (FunctionGraph)管理员,具有管理函数、工作流、触发器以及调用函数的权限(该权限后期会下线,建议您不使用) |
系统角色 |
Tenant Guest |
|
FunctionGraph Invoker |
函数工作流(FunctionGraph)调用者,具有查询函数、工作流、触发器以及调用函数的权限 |
系统角色 |
无 |
|
FunctionGraph FullAccess |
函数工作流服务所有权限 |
系统策略 |
无 |
|
FunctionGraph ReadOnlyAccess |
函数工作流服务只读权限 |
系统策略 |
无 |
|
FunctionGraph CommonOperations |
函数工作流(FunctionGraph)调用者,具有查询函数和触发器,以及调用函数的权限 |
系统策略 |
无 |
|
触发器/服务功能 |
权限 |
|---|---|
|
APIG |
apig:groups:get apig:groups:list apig:apis:create apig:apis:delete apig:apis:update apig:apis:publish apig:apis:list apig:apis:get apig:apis:offline apig:apps:list apig:envs:list |
|
APIG专享版 |
apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate |
|
cts:notification:create cts:notification:delete cts:notification:update cts:operation:list cts:tracker:list cts:trace:list |
|
|
DDS |
dds:instance:get dds:instance:list |
|
DIS |
dis:streams:list |
|
IoTDA |
iotda:routingrules:create iotda:routingrules:delete iotda:routingrules:queryList iotda:routingrules:query iotda:routingactions:create iotda:routingactions:delete iotda:routingactions:query iotda:routingactions:queryList iotda:subscriptions:queryList iotda:rules:modifyStatus iotda:apps:queryList |
|
LTS |
lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get |
|
OBS |
obs:bucket:GetBucketLocation obs:bucket:GetBucketNotification obs:bucket:PutBucketNotification obs:bucket:ListBucket |
|
smn:topic:list smn:topic:update |
|
|
TMS |
tms:predefineTags:list tms:tagValues:list |
|
DNS |
dns:recordset:create, dns:recordset:list, dns:recordset:update, dns:zone:create, dns:zone:delete, dns:zone:get, dns:zone:list |
|
BSS |
bss:bill:view bss:renewal:view |
|
ces:alarms:get ces:alarms:list ces:alarms:create |
|
|
DMS |
dms:instance:get |
|
EG |
eg:subscriptions:get eg:subscriptions:list eg:sources:list eg:sources:get eg:agency:create eg:subscriptions:create eg:subscriptions:delete eg:subscriptions:operate |
表3列出了FunctionGraph常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
- GaussDB权限管理_GaussDB数据库权限管理_高斯数据库权限管理_华为云
- 权限管理能力_怎么设置权限_云容器引擎
- 什么是函数工作流_函数托管计算服务_函数工作流 FunctionGraph-华为云
- 函数流管理_编排无服务器_函数工作流 FunctionGraph-华为云
- 函数工作流FunctionGraph支持毫秒级响应文件处理_函数工作流_华为云FunctionGraph-华为云
- 调用函数_函数调用方式_函数工作流 FunctionGraph-华为云
- 使用FunctionGraph构建自己的ChatGPT_函数工作流_华为云FunctionGraph-华为云
- 华为云UCS如何实现权限管理
- 函数工作流使用流程_Serverless_函数工作流 FunctionGraph-华为云
- 使用函数工作流资源成本降低70%_函数能力_函数工作流 FunctionGraph-华为云
