在函数计算中,限制RAM用户查看FC控制台的资源用量明细,可以通过设置权限策略来实现。以下是具体的操作步骤和配置方法:
1. 登录函数计算控制台
2. 创建自定义权限策略
- 在左侧导航栏中,点击“更多功能”,然后选择“权限助手”。
- 点击“创建权限策略”,开始配置权限策略。
- 填写策略名称和备注(可选),明确此策略的目的。
关键配置:限制资源用量明细的查看权限
- 在“函数计算产品权限”区域,点击“+添加资源”。
- 选择相应的地域和服务。
- 在“权限模块”部分,仅勾选与资源用量明细相关的只读权限,例如:
fc:DescribeUsage
fc:ListFunctions
(如果需要限制对函数列表的访问)
- 如果需要进一步限制RAM用户只能查看特定资源的用量明细,可以添加限制条件。
添加限制条件
- 点击“+添加限制条件”。
- 选择“函数名称”作为关键字(如果权限助手中支持直接针对函数名称的过滤)。
- 使用“Like”或相似的限定词来匹配特定字符串。例如,输入值为
"node"
,确保策略仅应用于名称中包含该字符串的函数。
3. 预览并创建策略
- 完成配置后,预览生成的权限策略,确认无误后完成创建。
- 将生成的RAM权限策略复制。
4. 在RAM控制台应用权限策略
- 转至RAM控制台,导航至“权限管理” > “权限策略”。
- 创建新的权限策略,使用脚本编辑模式,粘贴从函数计算控制台复制的权限策略。
- 完善策略的基本信息(名称、备注),并根据需要进行策略优化。
- 最后,保存新创建的权限策略。
5. 为RAM用户授权
- 在RAM控制台的“权限管理” > “授权”中,为相应的RAM用户分配刚才创建的权限策略。
- 确保RAM用户仅能查看符合限制条件的资源用量明细。
重要说明
- 权限最小化原则:建议按照最小授权原则为RAM用户授予业务所需权限,避免过度授权导致的安全风险。
- 资源用量明细的范围:资源用量明细包括函数调用次数、活跃vCPU使用量、闲置vCPU使用量、内存使用量、磁盘使用量、活跃GPU使用量、闲置GPU使用量等。
- 计费项变更提醒:自2024年08月27日起,函数计算不再单独提供上述资源使用量的计费项,而是统一转换为CU使用量进行计费。因此,RAM用户的权限策略需关注CU使用量的相关权限。
通过以上步骤,您可以成功限制RAM用户在函数计算控制台中查看特定资源的用量明细,同时确保权限配置的安全性和精确性。