控制面流程包括函數權限控制、代碼及配置的增刪改查,主要包括函數元數據、代碼、層和鏡像緩存等安全傳輸及存儲。本文介紹函數計算的控制面安全保障類型。
權限控制通過阿里云訪問控制(RAM)服務保障安全
- 事件源觸發:用戶需要為事件源創建觸發器,并為觸發器授予相應的執行權限才可以觸發函數的執行。
- 云服務訪問:用戶訪問其他云服務,比如對象存儲OSS、日志服務SLS和表格存儲Tablestore時,需要授予相應的訪問權限。
- RAM用戶(子賬號)授權:函數計算借助RAM服務,支持為RAM用戶(子賬號)賦予不同的函數操作權限。
- 跨賬號授權:函數計算借助RAM服務,支持為他人賬號賦予不同的函數操作權限。
函數元數據通過傳輸加密及存儲加密保障安全
- 函數計算API及內部通信均使用TLS 1.2及以上協議加密傳輸內容。
- 函數的元數據通過AES256密文存儲,使用時解密后的元數據緩存時間不超過600s。
代碼及層緩存通過隔離,受控訪問及傳輸加密保障安全
用戶創建或更新函數時,使用OSS同步或API上傳等方式,將代碼上傳至函數計算,函數計算使用隔離的賬號緩存代碼或層至對象存儲OSS。初始化函數實例時,函數計算申請臨時下載地址,下載至執行環境,通過虛擬化隔離技術,函數實例只能訪問自身的代碼及配置的層。
用戶可通過調用API、控制臺或工具等方式,使用合法的鑒權獲取臨時下載地址,自行下載代碼或層。
代碼或層在函數計算內部的傳輸均使用TLS 1.2及以上協議加密。
鏡像緩存通過隔離,受控訪問及傳輸加密保障安全
用戶將容器鏡像上傳至函數計算時,將通過隔離的賬號緩存至容器鏡像服務ACR中,只有該賬號有權限下載鏡像。在初始化函數實例時,函數計算使用TLS 1.2及以上加密協議下載容器鏡像。
文檔內容是否對您有幫助?