PrivateLink支援設定終端節點策略,您可以將其綁定到VPC終端節點來控制哪些阿里雲主體能使用終端節點訪問阿里雲服務,從而增強網路安全性,保護敏感性資料,滿足特定的安全需求。
終端節點策略類型
終端節點策略不會覆蓋或取代基於身份的策略或基於資源的策略。例如,如果您目前使用介面終端節點串連到Object Storage Service (OSS),則還可以使用OSS儲存桶策略來控制從特定終端節點或特定VPC對儲存桶的訪問。目前終端節點策略支援兩種類型:
預設策略
預設終端節點允許完全訪問,策略內容如下所示:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }自訂策略
支援您根據實際需要自訂策略內容。更多資訊,請參見權限原則基本元素。
注意事項
終端節點策略是一種使用RAM policy語言的JSON策略文檔。終端節點策略需滿足權限原則文法和結構,詳情請參見權限原則文法和結構。
為阿里雲服務(即阿里雲一方雲端服務)建立介面終端節點時,您可以為單個終端節點設定策略,也可以隨時更新終端節點策略。如果您沒有設定終端節點策略,系統將添加預設終端節點策略,預設該終端節點允許被完全訪問。
並非所有阿里雲服務都支援終端節點策略。如果阿里雲服務不支援終端節點策略,則表示服務允許被完全訪問。目前支援配置終端節點策略的阿里雲服務有ActionTrail。
當您為其他終端節點服務而非阿里雲服務建立終端節點時,該終端節點允許被完全訪問。關於其他終端節點服務和阿里雲服務的區別,請參見什麼是阿里雲服務和其他終端節點服務。