执行角色

概述

使用云工作流构建应用时，您需要创建执行委托角色并授予相应权限，若不配置委托角色，云工作流默认使用 服务内联委托 角色 。云工作流在执行流程时将以该角色身份代表您访问云服务，例如执行函数、发送消息或调用其他流程。

云工作流基于统一身份认证IAM的委托权限管理机制。授权原理如下：策略定义了访问某项服务的能力，将策略绑定到委托后，该委托便具备访问该服务的权限。第三方只需扮演具备所需权限的角色即可访问服务，无需长期密钥，从而提升系统安全性。

操作步骤

创建委托角色

1. 使用 IAM管理员 登录IAM控制台。

2. 在左侧导航栏，选择 委托。

3. 在委托列表页面，单击 创建委托。

4. 在 创建委托 页面，选择 可信实体类型 为 服务委托, 点击下一步。

5. 在配置委托页面， 输入 委托名称 ,选择委托服务选 一类节点-函数计算cf。 

   

6. 输入完成后点击 完成,即可创建完成。

配置委托权限

1. 使用IAM管理员登录IAM控制台。

2. 在左侧导航栏，选择 委托。

3. 在委托列表页，选择需要授权的委托，点击旁边的 授权 按钮。

4. 在 选择策略 页面, 搜索/选择你需要的云服务策略, 本例子授权 对象存储 的 只读 权限 。 

   

   如果需要更精细的权限控制，可以先创建自定义策略，详情请查阅创建自定义策略

5. 授权范围将默认勾选全局范围，您可以直接点击“确定”完成授权。

6. 创建完成委托角色后， 即可在 工作流设置 中下拉选择设置。工作流设置详见工作流执行器关于 工作流配置 说明。