可信云服務可以通過IAM委托的方式訪問其他云服務的資源。可信實體為天翼云服務的IAM委托，包括普通云服務委托和云服務關聯委托。本文介紹函數計算的服務內聯委托。

什么是服務內聯委托

在某些場景下，函數計算為了完成自身的某個功能，需要獲取其他云服務的訪問權限，因此，函數計算創建了與云服務內聯委托，即服務內聯委托CtyunServiceDelegateRoleForFC。函數計算支持CtyunServiceDelegateRoleForFC和FaaS函數的綁定，實現最小授權范圍內授予函數訪問其他云服務的權限。

使用函數計算時，系統提供的服務內聯委托及其包含的系統權限策略如下：

• 服務內聯委托：CtyunServiceDelegateRoleForFC
• 系統權限策略：CtyunServiceInlineDelegateRolePolicyForFC

CtyunServiceDelegateRoleForFC

服務內聯委托CtyunServiceDelegateRoleForFC可以獲取訪函數列表、函數詳情、創建函數、刪除函數、更新函數以及調用函數的權限。

服務內聯委托CtyunServiceDelegateRoleForFC被授予權限策略CtyunServiceInlineDelegateRolePolicyForFC，該權限策略的內容如下。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cf:inst:CreateFunction",
                "cf:inst:UpdateFunction",
                "cf:inst:ListFunction",
                "cf:inst:GetFunction",
                "cf:inst:InvokeFunction",
                "cf:inst:DeleteFunction"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

以下是使用函數計算時，需要創建和使用服務內聯委托的場景：

• 為函數計算配置專有網絡VPC、交換機或彈性網卡等，提升數據安全性，實現VPC內的網絡互通。
• 訪問容器鏡像倉庫拉取鏡像創建容器鏡像函數，能夠利用容器鏡像資源靈活部署函數。
• 配置消息隊列或事件總線等消息服務的訪問權限，使用函數計算監聽消息源的事件。當有新的消息或事件產生時，可以直接觸發函數執行，實現事件驅動的計算模型。
• 配置日志服務相關權限，允許自動收集函數執行日志，便于日志的搜索、分析和可視化展示，幫助用戶快速定位問題。

創建服務內聯委托

登錄函數計算控制臺時，系統會檢查當前賬號是否已有服務內聯委托CtyunServiceDelegateRoleForFC，如果不存在則會彈出提示，在您確認授權自動創建服務內聯委托CtyunServiceDelegateRoleForFC并授權CtyunServiceInlineDelegateRolePolicyForFC后，系統自動創建CtyunServiceDelegateRoleForFC。

創建完成后，您可以在IAM控制臺的角色管理頁面、API或CLI調用ListDelegates - 獲取委托列表的返回結果中查看已創建的服務內聯委托。您還可以登錄函數計算控制臺，如果可以正常使用則表示已成功創建服務內聯委托。

刪除服務內聯委托

您可以登錄IAM控制臺刪除服務內聯委托。刪除后，將無法正常使用函數計算控制臺，請謹慎操作。

1. 使用IAM管理員登錄IAM控制臺。

2. 在左側導航欄，選擇委托。

3. 在委托頁面，單擊目標委托并操作刪除委托。

4. 在刪除委托對話框，輸入IAM委托名稱，然后單擊刪除委托。

   當您嘗試刪除一個服務內聯委托時，IAM會先檢查這個委托是否仍被云資源使用，如果被占用則會刪除失敗，可以根據刪除失敗的提示信息，查看哪些云資源在使用該委托。您需要找到對應的云資源并手動清理這些云資源，然后再刪除該服務內聯委托。