Agent 执行引擎应用部署过程中需要访问其他云产品,首次使用时,您需要完成相关服务的访问授权。本文介绍首次使用如何进行访问授权。
主账号授权操作步骤
您需要为 Serverless Framework、CODING DevOps、云函数创建服务角色并授权。具体操作如下:
步骤一:为预设策略授权
按界面提示,单击同意授权:
步骤二:为非预设策略授权
1. 单击前往关联为角色绑定策略。
2. 进入访问管理 > 角色 控制台,单击对应的角色名称 CODING_QCSRole。
3. 在权限策略中,单击关联策略。
4. 搜索并选择策略 “QcloudSCFFullAccess”,单击确定完成策略绑定。
子账号授权操作步骤
步骤一:创建自定义策略
1. 登录主账号。
2. 进入访问管理控制台 > 策略,单击新建自定义策略。
3. 在弹出的选择创建方式窗口中,单击按策略语法创建,进入选择策略模板页面。
4. 在选择策略模板页面,选择“空白模板”。如下图所示:
5. 单击下一步,进入编辑策略页面。
6. 在编辑策略页面,修改策略名称,例如 “scf-agent”,并且将下面创建 Agent 需要的最小策略内容输入到策略内容框后,单击完成。
{"statement": [{"action": ["tcr:DescribeInstances","tcr:ValidateUserPersonal","tcr:CreateUserPersonal","tcr:DescribeRepositoryOwnerPersonal","tcr:DescribeRepositoryFilterPersonal","trc:DescribeImagePersonal","sls:GetInstance","sls:ListInstances","scf:ListFunctions","scf:ListTriggers","scf:ListVersionByFunction","scf:ListAliases","scf:ListCustomDomains","scf:GetFunction","scf:GetAccount","scf:GetFunctionEventInvokeConfig","scf:GetFunctionTotalNum","scf:UpdateFunctionCode","cam:GetRole","cam:ListAttachedRolePolicies","cls:DescribeTopics","cls:DescribeLogsets","cfs:DescribeCfsFileSystems","vpc:DescribeVpcs","vpc:DescribeSubnets","coding:*"],"effect": "allow","resource": "*"}],"version": "2.0"}
策略的相关 action 说明如下:
云产品名称 | 接口名(策略 action) | 接口描述 | 备注 |
sls | GetInstance | 应用详情 | - |
sls | ListInstances | 查询应用列表 | - |
scf | ListFunctions | 查询函数列表 | - |
| ListTriggers | 函数详情-查询函数 URL | - |
| ListCustomDomains | 应用详情-查询自定义域名 | - |
| ListVersionByFunction | 函数详情-查询版本列表 | - |
| ListAliases | 函数详情-查询别名 | - |
| GetFunction | 函数详情 | - |
| GetAccount | 函数详情-查询用户配置 | - |
| GetFunctionEventInvokeConfig | 函数详情-查询异步事件配置 | - |
| GetFunctionTotalNum | 函数列表-统计各个地域的函数个数 | - |
| UpdateFunctionCode | 函数详情-更新镜像配置 | - |
cam | GetRole | 创建应用-角色校验 | - |
cam | ListAttachedRolePolicies | 创建应用-角色策略授权 | - |
coding | * | 创建应用-调用所有 coding 接口 | coding 产品只定义 coding:* 的 action,所以 coding 的所有接口只能添加 coding:* 的策略。 |
cls | DescribeTopics | 应用详情-查询日志主题 | - |
cls | DescribeLogsets | 应用详情-查询日志集 | - |
cfs | DescribeCfsFileSystems | 应用详情-查询 cfs 列表 | - |
vpc | DescribeVpcs | 应用详情-查询 vpc | - |
vpc | DescribeSubnets | 应用详情-查询子网 | - |
tcr | DescribeInstances | 开启镜像加速时需要初始化容器镜像服务 TCR 调用该接口 | - |
| ValidateUserPersonal | 校验是否初始化容器镜像服务 TCR 个人实例 | - |
| CreateUserPersonal | 初始化个人实例密码 | - |
| DescribeRepositoryOwnerPersonal | 查询个人实例列表 | - |
| DescribeRepositoryFilterPersonal | 获取满足输入搜索条件的个人版镜像仓库 | - |
| DescribeImagePersonal | 用于获取个人版镜像仓库 tag 列表 | - |
步骤二:给子账号关联对应策略授权
1. 自定义策略成功后,在 策略 页面,通过搜索筛选需要授权的预设策略,单击操作列的关联用户/组/角色。
2. 在弹出的“关联用户/用户组/角色”窗口,勾选要关联的子账号,单击确定,完成通过策略关联子账号。
步骤三:确认策略关联成功
1. 进入 用户列表,单击子用户名称,进入用户详情页。
2. 查看权限策略,确认子账号已经授权 “scf-agent” 策略。如下图所示:
