Controllo dell'accesso per richiamare e gestire le funzioni
Scopri come controllare le funzioni che gli utenti possono richiamare e gestire in OCI Functions.
Quando si configura una tenancy per lo sviluppo di funzioni, si specifica la seguente istruzione dei criteri di identità (come descritto in Istruzioni dei criteri per concedere agli utenti di OCI Functions l'accesso alle risorse correlate alle funzioni):
Allow group <group-name> to manage functions-family in compartment <compartment-name>Questo criterio di identità consente agli utenti autenticati nel gruppo specificato di gestire (ovvero creare, aggiornare ed eliminare) le funzioni e le applicazioni nel compartimento denominato e consente inoltre a tali utenti di richiamare le funzioni nel compartimento. Questo criterio in genere soddisfa i requisiti degli sviluppatori di funzioni che sviluppano e testano più funzioni nell'organizzazione.
Tuttavia, questo criterio di identità potrebbe essere troppo permissivo per soddisfare i requisiti di sicurezza per controllare il richiamo e la gestione delle funzioni negli ambienti di produzione. Ad esempio, in un ambiente di produzione è possibile impedire agli utenti di richiamare completamente le funzioni oppure limitare gli utenti a richiamare solo le funzioni di un'applicazione specifica oppure a richiamare solo una funzione specifica.
La specifica di una subnet privata per un'applicazione non impedisce l'accesso da Internet agli endpoint di richiamo delle funzioni nell'applicazione. Utilizzare i criteri di identità per controllare l'accesso agli endpoint di richiamo delle funzioni, come descritto in questo argomento.
Per controllare le funzioni che gli utenti di un gruppo possono richiamare e gestire, impostare i criteri di identità:
-
Per controllare le funzioni che un utente può richiamare e gestire, confermare che non si trovano in un gruppo a cui è stata concessa l'autorizzazione
manage functions-family. - Se si desidera consentire agli utenti di un gruppo di creare, aggiornare ed eliminare applicazioni e funzioni in un compartimento, ma non è possibile richiamare funzioni, immettere le istruzioni dei criteri riportate di seguito.
Allow group <group-name> to manage fn-app in compartment <compartment-name>Allow group <group-name> to manage fn-function in compartment <compartment-name> -
Se si desidera consentire richiami solo di funzioni particolari o richiami di funzioni solo in applicazioni particolari, includere gli OCID di funzione e applicazione appropriati nelle istruzioni dei criteri appropriate. Ad esempio:
- Per consentire agli utenti di richiamare tutte le funzioni di un'applicazione specifica, immettere un'istruzione criterio nel seguente formato:
Allow group <group-name> to use fn-invocation in compartment <compartment-name> where target.app.id = '<application-OCID>' - Per consentire agli utenti di richiamare una funzione specifica, immettere un'istruzione criterio nel seguente formato:
Allow group <group-name> to use fn-invocation in compartment <compartment-name> where target.function.id = '<function-OCID>' - Per consentire agli utenti di richiamare tutte le funzioni di tutte le applicazioni, ad eccezione delle funzioni di un'applicazione specifica, immettere un'istruzione criterio nel seguente formato:
Allow group <group-name> to use fn-invocation in compartment <compartment-name> where target.app.id != '<application-OCID>' - Per consentire agli utenti di richiamare tutte le funzioni di un compartimento ad eccezione di una funzione specifica, immettere un'istruzione criterio nel seguente formato:
Allow group <group-name> to use fn-invocation in compartment <compartment-name> where target.function.id != '<function-OCID>' - Per consentire agli utenti di richiamare due funzioni specifiche, immettere un'istruzione criterio nel seguente formato:
Allow group <group-name> to use fn-invocation in compartment <compartment-name> where ANY {target.function.id='<function-OCID>', target.function.id='<function-OCID>'} - Per consentire agli utenti di richiamare una funzione specifica insieme a tutte le funzioni di un'applicazione specifica, un'istruzione criterio nel seguente formato:
Allow group <group-name> to use fn-invocation in compartment <compartment-name> where ANY {target.function.id='<function-OCID>', target.app.id='<application-OCID>'}
- Per consentire agli utenti di richiamare tutte le funzioni di un'applicazione specifica, immettere un'istruzione criterio nel seguente formato:
-
Se si desidera consentire il richiamo delle funzioni e le richieste di gestione solo da determinati indirizzi IP:
- Creare un'origine di rete per specificare gli indirizzi IP consentiti, se non esiste già un'origine di rete adatta (vedere https://docs.oracle.com/iaas/Content/Identity/Tasks/managingnetworksources.htm).
-
Aggiungere un'istruzione criterio per abilitare solo gli indirizzi IP nell'origine di rete a richiamare o gestire le funzioni. Ad esempio:
-
Per consentire solo le richieste di richiamo della funzione dagli indirizzi IP definiti in un'origine di rete denominata
corpnet, immettere un'istruzione criterio nel seguente formato:Allow group <group-name> to use fn-invocation in compartment <compartment-name> where request.networkSource.name='corpnet' -
Per consentire solo le richieste di gestione delle funzioni dagli indirizzi IP definiti in un'origine di rete denominata
corpnet, immettere un'istruzione dei criteri nel seguente formato:Allow group <group-name> to manage functions-family in compartment <compartment-name> where request.networkSource.name='corpnet'
-