更新时间:2022-04-22 GMT+08:00
分享

创建委托

概述

由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。

  • 在创建函数过程中选择委托时,勾选“为函数执行单独设置委托”时,弹出“函数配置委托”和“函数执行委托”,函数执行委托与函数配置委托可独立设置,这将减小不必要的性能损耗;不勾选时,函数执行委托和函数配置委托将使用同一委托,即使用同一个选择的委托或不使用任何委托。如图1所示。
    图1 设置委托

    函数配置委托,比如函数需要创建DMS或DIS触发器,则需要配置具有DMS或DIS访问权限的委托。当没有使用任何函数配置委托或者函数配置委托不存在时,不能创建DMS、DIS触发器。

    函数执行委托配置后用户可以通过函数执行入口方法中的context参数获取具有委托中权限的token、AK、SK,用于访问其他云服务。

操作步骤

按照如下参数设置委托,创建委托的具体步骤请参考如何创建委托

  1. 登录统一身份认证服务控制台。
  2. 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“+创建委托”。
    图2 创建委托
  3. 开始配置委托。
  • 委托名称:自定义。
  • 委托类型:选择“云服务”。
  • 云服务:选择“函数工作流 FunctionGraph”。
  • 持续时间:选择“永久”。
  • 描述:填写描述信息。
  1. 单击“下一步”,进入委托选择页面,在右方搜索框中搜索需要添加的权限并勾选。此处以添加VPC Administrator权限为例。
    图3 选择权限
    表1 委托权限示例

    权限名称

    使用描述/场景

    VPC Administrator

    拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。

    例如,在函数配置跨VPC访问时,则函数必须配置具备VPC管理权限的委托。

  2. 单击“下一步”,选择权限的作用范围。此处以勾选“区域级项目”为例,您需要根据业务需要选择对应的权限作用范围。
    图4 根据业务需要选择对应的权限

常见委托场景授权项的配置

若您在FunctionGraph服务中使用如下场景,请先创建委托,对应授权项参考表2进行选择。

表2 常见授权项选择

场景

授权项

说明

使用自定义镜像

SWR Admin

SWR Admin:容器镜像服务(SWR)管理员,拥有该服务下的所有权限。

如何创建自定义镜像,请参考自定义镜像

挂载SFS文件系统

SFS Administrator或Tenant administrator

SFS Administrator:弹性文件服务(SFS)管理员,拥有该服务下的所有权限。

Tenant administrator:全部云服务管理员(除IAM管理权限),拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。

如何挂载SFS文件系统,请参考添加sfs文件系统

挂载sfs turbo文件系统

SFS Administrator或Tenant administrator

SFS Administrator:弹性文件服务(SFS)管理员,拥有该服务下的所有权限。

Tenant administrator:全部云服务管理员(除IAM管理权限),拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。

如何挂载挂载sfs turbo文件系统,请参考添加sfs turbo文件系统

挂载ECS共享目录

Tenant Guest及VPC Administrator

Tenant Guest:全部云服务只读权限(除IAM权限)

VPC Administrator:网络管理员

需要给函数设置委托至少拥有Tenant Guest以及VPC Administrator权限。

如何挂载ECS共享目录,请参考添加ECS共享目录

使用APM调用链

APM Administrator

APM Administrator:应用性能管理服务管理员。

如何开通APM调用链,请参考调用链管理

使用DIS触发器

DIS Administrator

数据接入服务(DIS)管理员,拥有该服务下的所有权限。

如何创建DIS触发器,请参考使用DIS触发器

配置跨域VPC访问

VPC Administrator

拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。在函数配置跨VPC访问时,则函数必须配置具备VPC管理权限的委托。

如何配置跨域VPC访问,请参考函数配置VPC

读取云解析服务(DNS)的资源

DNS ReadOnlyAccess

DNS ReadOnlyAccess:云解析服务只读权限,拥有该权限的用户仅能查看云解析服务资源。在函数配置调用DNS服务的接口解析内网域名时,则函数必须具备读取DNS资源权限的委托。

如何调用DNS服务的接口解析内网域名,请参考解析DNS内网域名

创建OBS桶和OBS触发器

Tenant Administrator

Tenant administrator:全部云服务管理员(除IAM管理权限),拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。

如何创建OBS触发器,请参考使用OBS触发器

修改委托

修改委托:如果需要修改委托的权限、持续时间、描述等,可以在IAM控制台修改委托。

FunctionGraph相关委托修改后,约10分钟生效(如context.getToken更新)。

分享:

    相关文档

    相关产品

close