检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份认证与访问控制 FunctionGraph基于华为云统一身份认证服务IAM实现用户身份认证和对华为云资源进行精细的访问控制。 身份认证 用户访问FunctionGraph的方式有多种,包括FunctionGraph控制台、API、SDK,无论访问方式封装成何种形式,其本质都是
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证通用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 Token认证 Token的有效期为24小时,需
什么是FunctionGraph FunctionGraph是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数,只需编写业务函数代码并设置运行的条件,无需配置和管理服务器等基础设施,函数以弹性、免运维、高可靠的方式运行。此外,按函数实际执行资源计费,不执行不产生费用。
Content-type”。 对于获取用户Token接口,返回如图1所示的消息头,其中“x-subject-token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 图1 获取用户Token响应消息头 响应消息体 响应消息体通常以结
X-Auth-Token:用户Token,可选,当使用Token方式认证时,必须填充该字段。用户Token也就是调用获取用户Token接口的响应值,该接口是唯一不需要认证的接口。 FunctionGraph API同时支持使用AK/SK认证,AK/SK认证是使用SDK对请求进
单击右侧“创建委托”进入统一身份认证服务IAM创建,具体操作步骤请参见创建函数委托。 函数执行委托 勾选“为函数执行单独设置委托”时,将弹出此参数进行配置,如图8所示,配置后可以通过函数执行入口方法中的context参数获取具有委托中权限的Token或者SecurityAcces
X-CFF-Auth-Token Token是系统颁发给IAM用户的访问令牌,承载用户的身份、权限等信息。 X-CFF-Security-Access-Key 临时AK/SK和securitytoken是系统颁发给IAM用户的临时访问令牌。 临时AK/SK和securitytoken遵循权限最小化原则。
权限及授权项说明 如果您需要对您所拥有的FunctionGraph进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果公有云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使
是否必须 描述 --cli-region 是 调用函数所在region。 --function_urn 是 函数的URN(Uniform Resource Name),唯一标识函数。 --project_id 是 租户Project ID。 请求体 是 通过--key="value"方式指定请求体,其对应的json结构:{
业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制公有云资源的访问。 通过IA
创建用户并授权使用FunctionGraph 如果您需要对您所拥有的FunctionGraph进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的华为云账号中,
的配置和保护等。 用户身份认证凭据保护 用户通过身份凭据,如IAM AK、SK、Token等,访问云服务。若凭据泄露,将无法保障业务安全。用户应使用IAM遵循最小权限原则授权,以减小身份凭据泄露时遭受攻击的影响范围。 用户函数代码安全 用户代码和私有依赖包是用户的核心资产,用户需
精细化权限控制和开启身份认证 通过华为云统一身份认证服务(IAM),为FunctionGraph函数配置委托和AK/SK等时,应遵循最小权限使用原则,确保函数仅能访问指定的资源。例如,限制函数对特定OBS桶的读写权限,防止越权访问。 配置APIG触发器时,建议启用IAM认证或自定义认证,确保仅
建议在测试时函数内存规格、超时时间调大,如512MB、5s。 图5 查看函数返回结果 配置APIG触发器测试 请参见使用APIG触发器,创建APIG专享版触发器,“安全认证”建议选择“None”,方便调试。 复制生成的调用URL在浏览器进行访问。如图 调用函数所示,在URL后添加请求参数greeting?name=fg_user,响应如下。
安全 责任共担 资产识别与管理 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书 代码签名 数据面保障
创建Java函数(按照业务划分,每个部署单元对应一个函数),如图1所示,具体创建函数详情请参考创建函数。 图1 创建Java函数 创建并配置委托。 登录统一身份认证服务控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“+创建委托”。 图2 创建委托 委托名称:serverless-trust(用户可以自定义)。
FunctionGraph提供了按量和预留两种类型的实例。 按量实例是由FunctionGraph根据用户使用函数的实际情况来创建和释放,当FunctionGraph收到函数的调用请求时,自动为此请求分配执行环境。 预留实例是将函数实例的创建和释放交由用户管理,如果一个函数创建了预留实例
完成桶创建以后,OBS桶列表有your-bucket-input桶。 创建委托 在服务控制台左侧导航栏,选择“管理与监管 > 统一身份认证服务”进入统一身份认证服务控制,在左侧导航栏单击“委托”,进入“委托”界面。 单击“创建委托”,进入“创建委托”界面。 填写委托信息。 委托名称:输
在云日志服务配置Agent,快速将ECS等服务器上日志采集到指定的日志组,配置过程请参考安装ICAgent。 图1 流程图 创建委托 登录统一身份认证服务控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”菜单,单击右上方的“+创建委托”,如图2所示。 图2 创建委托 开始配置委托。 委托名称
当函数的事件源是APIG时,相关约束条件请参考Base64解码和返回结构体的说明。 本例函数工程文件保存在“~/Code/”文件夹下,在打包的时候务必进入Code文件夹下选中所有工程文件进行打包,这样做的目的:由于定义了FunctionGraph函数的index.php是程序执行入口
