腾讯云 Serverless 应用中心 - 指定操作角色配置

Serverless 应用中心

简介/价格/文档

腾讯云 Serverless 应用中心 - 指定操作角色配置

文档简介：

除了默认角色 SLS_QcsRole 外，主账号还可自行创建多个角色，并将它们分配给每个子用户，各子用户根据自身业务需求只具有相应角色所赋予的策略，达到权限收缩的目的，流程图如下：

*此产品及展示信息均由腾讯云官方提供。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

主账号配置过程

创建子账号配置角色，并为该角色赋予相应策略。以部署 API 网关触发的 SCF 函数为例：

创建子账号角色

1. 主账号登录 CAM 控制台，在左侧导航栏中，单击角色。

2. 在角色页面中，单击新建角色，并选择角色载体为腾讯云产品服务。

3. 在支持角色的服务中，选择 Serverless Framework (sls)，单击下一步。

4. 选择预设策略 QcloudCOSFullAccess、QcloudAPIGWFullAccess、QcloudSCFFullAccess，单击下一步。

5. 配置角色标签。详情见基于标签管理项目资源。

6. 填写角色名称（如 role），单击完成。单击角色名，可以查看配置完成后角色页面：

配置角色策略

1. 在左侧导航栏，单击策略进入策略管理页。

2. 在策略管理页，单击新建自定义策略，并选择按策略语法创建。

3. 在策略模板中，选择空白模板，单击下一步。

4. 填写策略名和内容，并单击完成。绑定角色策略，其中 “resource” 参数填入需要给子账号绑定的角色六段式：

				
			{
		
			 "version": "2.0",
		
			 "statement": [
		
			 {
		
			 "action": [
		
			 "cam:PassRole"
		
			 ],
		
			 "resource": [
		
			 # 角色六段式（例："qcs::cam::uin/123456789:roleName/test-role1"）
		
			 ],
		
			 "effect": "allow"
		
			 }
		
			 ]
		
			}

说明

角色资源描述可以在角色信息页面获取。

关联子用户策略

1. 在左侧导航栏，单击用户 > 用户列表，进入用户列表页。

2. 选择需要授权的子用户，单击操作列的授权。

3. 从策略列表中筛选出创建的策略与预设策略QcloudSLSFullAccess ，单击确定，将策略赋予目标子账号，完成角色绑定。

4. （可选）如认为 QcloudSLSFullAccess 权限过大，您也可以自己创建自定义策略，为指定资源赋予 SLS 调用权限，策略模板如下：

				
			{
		
			 "version": "2.0",
		
			 "statement": [
		
			 {
		
			 "action": [
		
			 "scf:*"
		
			 ],
		
			 "resource": [
		
			 #填入项目资源名称（例："qcs::scf:ap-guangzhou::appname/*"）
		
			 ],
		
			 "effect": "allow"
		
			 }
		
			 ]
		
			}

说明

项目资源描述严格按照 CAM 规范进行，您也可以对资源再进行进一步细化，具体到函数名称或者 stage 名称。

子账号配置过程

本地创建 Serverless 项目，在配置文件 serverless.yaml 中添加全局配置项 configRole，输入角色名称，后台通过权限检测后即可完成部署：

# serverless.yml

component: scf # (必填) 引用 component 的名称，当前用到的是 tencent-scf 组件

org: test # (可选) 用于记录组织信息，默认值为您的腾讯云账户 appid

app: scfApp # (可选) 该 SCF 应用名称

stage: dev # (可选) 用于区分环境信息，默认值是 dev

globalOptions:

configRole: test-role1 # (可选) 填入指定角色名称

inputs:

src: ./src

runtime: Nodejs10.15 # 云函数的运行时环境。除 Nodejs10.15 外，可选值为：Python2.7、

Python3.6、Nodejs6.10、Nodejs8.9、PHP5、PHP7、Go1、Java8。

region: ap-guangzhou

handler: index.main_handler

events:

- apigw:

parameters:

protocols:

- http

- https

serviceName:

description: The service of Serverless Cloud Framework

environment: release

endpoints:

- path: /index

method: GET

注意

如果不绑定角色，子账号默认使用 SLS_QcsRole 进行 SLS 部署，配置文件中无需填 configRole 参数。

一旦绑定角色，请仔细核对 yaml 文件中 configRole 名称，填错或不填都会报错，子账号只支持使用绑定的角色，无权使用其它角色。

子账号添加权限

子账号如果需要添加权限，需要将角色名称与需要添加的策略名称一起提供给主账号，主账号在 CAM 控制台 >角色中完成权限添加。

相似文档

腾讯云 Serverless 应用中心 - 访问管理配置
访问管理（CAM）简介：访问管理（Cloud Access Management，CAM）是腾讯云提供的一套 Web 服务，用于帮助客户安全地管理腾讯云账户的访问权限，资源管理和使用权限。通过 CAM，您可以创建、管理和销毁用户（组），并通过身份管理和策略管理控制哪些人可以使用哪些腾讯云资源。
腾讯云 Serverless 应用中心 - 项目结构
Serverless Cloud Framework 基于 Serverless 组件完成应用的部署，对于本地项目结构没有强制的规定，但为了便于管理与部署，我们推荐您采用以下几种目录结构组织您的应用：
腾讯云 Serverless 应用中心 - yml 文件规范
Serverless Cloud Framework 通过项目配置文件 serverless.yml 完成应用的类型识别与资源配置，本地开发完成后的项目，必须先配置 yml 文件，才可以通过运行 scf deploy 命令，将 serverless.yml 中的配置文件和 inputs 中指定参数或代码目录会都被传入 Serverless Components 部署引擎中，从而完成云端部署。
腾讯云 Serverless 应用中心 - 构建应用
完成 Serverless Cloud Framework 安装后，您可以参考本文档初始化项目模板，并构建多组件应用。前提条件：已经安装 Serverless Cloud Framework。操作详情请参见安装 Serverless Cloud Framework。
腾讯云 Serverless 应用中心 - 云端调试
开发模式：开发模式是为处于开发状态下的项目可以更便捷的进行代码编写、开发调试而设计的。在开发模式中，用户可以持续地进行开发-调试的过程，尽量减少打包、更新等其他工作的干扰。

文档中心

全民上云·上云补贴申领