控制面安全性

控制面流程包括函数权限控制、代码及配置的增删改查，主要包括函数元数据、代码、层和镜像缓存等安全传输及存储。本文介绍函数计算的控制面安全保障类型。

权限控制通过阿里云访问控制（RAM）服务保障安全

事件源触发：用户需要为事件源创建触发器，并为触发器授予相应的执行权限才可以触发函数的执行。
云服务访问：用户访问其他云服务，比如对象存储 OSS（Object Storage Service）、日志服务 SLS（Simple Log Service）和表格存储（Tablestore）时，需要授予相应的访问权限。
RAM用户（子账号）授权：函数计算借助RAM服务，支持为RAM用户（子账号）赋予不同的函数操作权限。
跨账号授权：函数计算借助RAM服务，支持为他人账号赋予不同的函数操作权限。

用户创建或更新函数时，使用OSS同步或API上传等方式，将代码上传至函数计算，函数计算使用隔离的账号缓存代码或层至对象存储。初始化函数实例时，函数计算申请临时下载地址，下载至执行环境，通过虚拟化隔离技术，函数实例只能访问自身的代码及配置的层。

用户可通过调用API、控制台或工具等方式，使用合法的鉴权获取临时下载地址，自行下载代码或层。

代码或层在函数计算内部的传输均使用TLS 1.2及以上协议加密。

用户将容器镜像上传至函数计算时，将通过隔离的账号缓存至容器镜像服务ACR中，只有该账号有权限下载镜像。在初始化函数实例时，函数计算使用TLS 1.2及以上加密协议下载容器镜像。

函数计算权限管理通过阿里云的访问控制RAM实现。使用访问控制RAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为RAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。

当您需通过事件源如对象存储OSS触发函数执行时，可授予该事件源触发函数的权限，该权限是触发器级别的，每个触发器的角色均可以被授予相应权限，该角色也可以同时被授予不同触发器。本文以授予OSS访问函数计算的权限为例，介绍授予事件源访问函数计算权限的应用场景和操作步骤。

借助访问控制的RAM用户，您可以实现阿里云账号和RAM用户的权限分割，避免因暴露阿里云账号密钥，造成安全风险。按需为RAM用户赋予权限后，您可以限定拥有指定权限的RAM用户在函数计算控制台访问或管理资源。本文介绍如何通过阿里云账号创建并授权RA