tencent cloud

云函数

动态与公告
产品动态
产品公告
新手指引
产品简介
产品概述
相关概念
工作原理
产品优势
应用场景
相关产品
购买指南
计费概述
计费方式
计费项与计费方式
函数算力支持
免费额度
产品定价
计费示例
欠费与停服说明
快速入门
使用控制台创建一个事件函数
操作指南
配额管理
函数管理
Web 函数管理
日志管理
并发管理
触发器管理
函数 URL
自定义域名
版本管理
别名管理
权限管理
运行实例管理
插件管理
监控与告警管理
网络配置
层管理
执行配置
扩展存储管理
DNS 缓存配置
资源托管模式管理
近离线资源托管模式
工作流
触发器
触发器概述
触发器事件消息结构汇总
API 网关触发器
COS 触发器
CLS 触发器
定时触发器
CKafka 触发器
Apache Kafka 触发器
MQTT 触发器
触发器配置描述
MPS 触发器
CLB 触发器说明
云 API 触发器
开发指南
基本概念
测试云函数
环境变量
依赖安装
使用容器镜像
使用 Docker 安装依赖
错误类型与重试策略
死信队列
云函数接入数据库
自动化部署
云函数状态码
常见错误码解决方法
开发者工具
Serverless Web IDE
函数间调用 SDK
第三方工具
代码开发
Python
Node.js
Golang
PHP
Java
Custom Runtime
使用镜像部署函数
Web 框架部署
通过命令行完成框架部署
快速部署 Egg 框架
快速部署 Express 框架
快速部署 Flask 框架
快速部署 Koa 框架
快速部署 Laravel 框架
快速部署 Nestjs 框架
快速部署 Nextjs 框架
快速部署 Nuxtjs 框架
快速部署 Django 框架
实践教程
最佳实践概述
云产品联合解决方案
业务开发相关实践
实时音视频 TRTC
对象存储 COS
消息队列 CKafka
日志服务CLS
负载均衡 CLB
视频处理 MPS
内容分发网络 CDN
云数据仓库 PostgreSQL
云点播 VOD
短信 SMS
Elasticsearch Service
定时任务
视频处理
客户案例
腾讯在线教育
在线教育行业案例
游戏聊天系统
腾讯互娱国际(IEGG)
API 文档
History
Introduction
API Category
Making API Requests
Other APIs
Namespace APIs
Layer Management APIs
Async Event Management APIs
Trigger APIs
Function APIs
函数和层的状态说明
Data Types
Error Codes
SDK文档
常见问题
通用问题
Web 函数相关问题
计费相关问题
网络相关问题
日志相关问题
SCF 工具相关问题
事件处理相关问题
API 网关触发器相关问题
相关协议
Service Level Agreement
联系我们
词汇表
文档云函数操作指南权限管理角色与授权

角色与授权

PDF
聚焦模式
字号
最后更新时间: 2024-04-19 15:48:17

操作场景

角色(Role) 是腾讯云 访问管理(Cloud Access Management,CAM)提供的拥有一组权限的虚拟身份,主要用于对角色载体授予腾讯云中服务、操作和资源的访问权限,这些权限附加到角色后,通过将角色赋予腾讯云的服务,允许服务代替用户完成对授权资源的操作。
您在创建云函数(SCF)时,可能会需要操作部分其他产品的权限,例如 COS 触发器创建和删除所需的 COS 权限、API 网关触发器创建和删除所需的 API 网关权限、COS 代码文件的 zip 包读取权限等。

角色详情

角色名:SCF_QcsRole
角色载体:产品服务-scf.qcloud.com
角色描述:SCF 默认配置角色。该服务角色用于提供 SCF 配置对接其他云上资源的权限,包括但不限于代码文件访问、触发器配置。配置角色的预设策略可支持函数执行的基本操作。
角色所拥有策略:此角色所拥有 QcloudAccessForScfRole 策略,具备以下功能:
配置 COS 对象存储触发器时向 Bucket 配置中写入触发配置信息。
读取 COS 对象存储 Bucket 中的触发器配置信息。
在使用 COS 对象存储更新代码时,从 Bucket 完成代码 zip 包的读取操作。
配置 API 网关触发器时,完成 API 网关的服务、API 创建,以及服务发布等操作。
说明:
用户可前往 CAM 控制台 查看并修改当前配置角色 SCF_QcsRole 所关联的策略,但修改角色的关联策略可能会造成 SCF 无法正常执行等问题,故不建议修改。

操作步骤

SCF_QcsRole 角色用于授予 SCF 在配置过程中读取和操作用户资源的权限。如果您在管理函数(如使用命令行工具或 VS Code 插件更新函数代码)时,收到相应无角色或无权限报错,则需要配置 SCF_QcsRole 角色。
说明:
如果您当前是子用户/协作者,则需要主账号按照以下步骤进行授权。授权完成后,主账号和子用户登录均可以使用云函数服务。
1. 如果您是首次使用 SCF,打开 SCF 控制台 时会提示您进行服务授权。如下图所示:


2. 选择前往访问管理进入“角色管理”页面,单击同意授权确认授权。如下图所示:


3. 确认授权后,将会为您自动创建角色 SCF_QcsRole。如下图所示:



附录

用户策略更新说明

SCF 于2020年4月完善了预设策略权限,针对预设策略 QcloudSCFFullAccessQcloudSCFReadOnlyAccess 完成修改,针对配置角色 SCF_QcsRole 添加了 QcloudAccessForScfRole 策略。详情如下:
预设策略 QcloudSCFFullAccess 当前权限如下:
{
 "version":"2.0",
 "statement":[
    {
       "action":[
          "scf:*",
          "tag:*",
          "cam:DescribeRoleList",
          "cam:GetRole",
          "cam:ListAttachedRolePolicies",
          "apigw:DescribeServicesStatus",
          "apigw:DescribeService",
          "apigw:DescribeApisStatus",
          "cmqtopic:ListTopicDetail",
          "cmqqueue:ListQueueDetail",
          "cmqtopic:GetSubscriptionAttributes",
          "cmqtopic:GetTopicAttributes",
          "cos:GetService",
          "cos:HeadBucket",
          "cos:HeadObject",
          "vpc:DescribeVpcEx",
          "vpc:DescribeSubnetEx",
          "cls:getTopic",
          "cls:getLogset",
          "cls:listLogset",
          "cls:listTopic",
          "ckafka:List*",
          "ckafka:Describe*",
          "monitor:GetMonitorData",
          "monitor:DescribeBasicAlarmList",
          "monitor:DescribeBaseMetrics",
          "monitor:DescribeSortObjectList",
          "monitor:DescribePolicyConditionList",
          "cdb:DescribeDBInstances"
       ],
       "resource":"*",
       "effect":"allow"
    }
 ]
}
预设策略 QcloudSCFReadOnlyAccess 当前权限如下:
{
 "version": "2.0",
 "statement": [
    {
       "action": [
          "scf:Get*",
          "scf:List*",
          "ckafka:List*",
          "ckafka:Describe*",
          "monitor:GetMonitorData",
          "monitor:DescribeBasicAlarmList",
          "monitor:DescribeBaseMetrics",
          "monitor:DescribeSortObjectList",
          "cam:GetRole",
          "cam:ListAttachedRolePolicies",
          "vpc:DescribeVpcEx",
          "vpc:DescribeSubnetEx",
          "cls:getLogset",
          "cls:getTopic",
          "cls:listTopic",
          "apigw:DescribeService",
          "cmqtopic:GetTopicAttributes",
          "cmqtopic:GetSubscriptionAttributes",
          "cos:HeadBucket",
          "cos:GetService",
          "cos:GetObject"
       ],
       "resource": "*",
       "effect": "allow"
    }
 ]
}
预设策略 QcloudAccessForScfRole 当前权限如下:
{
  "version": "2.0",
  "statement": [
      {
          "action": [
              "ckafka:List*",
              "ckafka:Describe*",
              "ckafka:AddRoute",
              "ckafka:CreateRoute",
              "apigw:ReleaseService",
              "apigw:CreateService",
              "apigw:CreateApi",
              "apigw:DeleteApi",
              "cls:*",
              "cos:List*",
              "cos:Get*",
              "cos:Head*",
              "cos:PutBucket",
              "cos:OptionsObject",
              "cmqqueue:*",
              "cmqtopic:*"
          ],
          "resource": "*",
          "effect": "allow"
      }
  ]
}
预设策略 QcloudAccessForScfRole 具备以下功能:
配置 COS 对象存储触发器时,向 Bucket 配置中写入触发配置信息。
读取 COS 对象存储 Bucket 中的触发器配置信息。
在使用 COS 对象存储更新代码时,从 Bucket 完成代码 zip 包的读取操作。
配置 API 网关触发器时,完成 API 网关的服务、API 创建以及服务发布等操作。
配置 Ckafka 触发器时,完成创建消费者操作。
上一篇: 权限管理概述下一篇: 角色与策略

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈