資來源目錄管控策略是一種基於資源結構(資源夾或成員)的存取控制策略,可以統一管理資來源目錄各層級內資源訪問的許可權邊界,建立企業整體存取控制原則或局部專用原則。管控策略只定義許可權邊界,並不真正授予許可權,您還需要在某個成員中使用存取控制(RAM)設定許可權後,相應身份才具備對資源的存取權限。
應用情境
當企業建立了一個資來源目錄,並為每個部門建立了成員後,如果對各成員的行為不加以管控,就會破壞營運規則,帶來安全風險和成本浪費。資來源目錄提供管控策略功能,企業可以通過管理帳號集中制定管理規則,並將這些管理規則應用於資來源目錄的各級資源結構(資源夾、成員)上,管控各成員內資源的訪問規則,確保安全合規和成本可控。例如:禁止成員申請網域名稱、禁止成員刪除日誌記錄等。
管控策略類型
系統管控策略
系統內建的管控策略。您只能查看,不能建立、修改和刪除系統管控策略。開啟管控策略功能後,資來源目錄內所有的資源夾和成員預設綁定了系統策略FullAliyunAccess,該策略允許對您在阿里雲上的所有資源進行任何操作。
自訂管控策略
使用者自訂的管控策略。您可以建立、修改和刪除自訂管控策略。自訂管控策略建立成功後,您需要將自訂管控策略綁定到資源夾或成員上,才會生效。不需要時,也可以隨時解除綁定。
工作原理
管控策略的工作原理如下:
使用管理帳號開啟管控策略功能。更多資訊,請參見開啟管控策略功能。
開啟管控策略功能後,系統策略FullAliyunAccess將預設綁定到資來源目錄內的所有資源夾及成員,此策略允許所有操作,以防止管控策略的不當配置造成意料之外的訪問失敗。
使用管理帳號建立管控策略。更多資訊,請參見建立自訂管控策略。
使用管理帳號將管控策略綁定到資來源目錄節點(資源夾、成員)。更多資訊,請參見綁定自訂管控策略。
管控策略允許綁定到資來源目錄中的任何資源夾或成員。管控策略具備向下繼承的特點,例如:為父資源夾設定管控策略A,為子資源夾設定管控策略B,則管控策略A和管控策略B都會在子資源夾及其下的成員中生效。
說明請先進行局部小範圍測試,確保策略的有效性與預期一致,然後再綁定到全部目標節點(資源夾、成員)。
當成員中的RAM使用者或RAM角色訪問阿里雲服務時,阿里雲將會先進行管控策略檢查,再進行帳號內的RAM許可權檢查。具體如下:
管控策略鑒權從被訪問資源所在帳號開始,沿著資來源目錄層級逐級向上進行。
在任一層級進行管控策略鑒權時,命中拒絕(Deny)策略時都可以直接判定結果為拒絕(Explicit Deny),結束整個管控策略鑒權流程,並且不再進行帳號內基於RAM權限原則的鑒權,直接拒絕請求。
在任一層級進行管控策略鑒權時,如果既未命中拒絕(Deny)策略,也未命中允許(Allow)策略,同樣直接判定結果為拒絕(Explicit Deny),不再進入下一個層級鑒權,結束整個管控策略鑒權流程,並且不再進行帳號內基於RAM權限原則的鑒權,直接拒絕請求。
在某一層級鑒權中,如果未命中拒絕(Deny)策略,而命中了允許(Allow)策略,則本層級鑒權通過,繼續在父節點上進行管控策略鑒權,直至Root資源夾為止。如果Root資源夾鑒權結果也為通過,則整個管控策略鑒權通過,接下來進入帳號內基於RAM權限原則的鑒權。更多資訊,請參見權限原則判定流程。
管控策略對服務關聯角色不生效。關於服務關聯角色的詳情,請參見服務關聯角色。
阿里雲將會評估被訪問的帳號自身及其所在的每一層級上綁定的管控策略,從而確保綁定在較高層級上的管控策略可以在其下的所有帳號上生效。
重要管控策略對所有資來源目錄成員中的RAM使用者和RAM角色生效,但對成員的根使用者不生效。同時,資來源目錄的管理帳號位於資來源目錄外部,不歸屬於資來源目錄,所以管控策略對管理帳號內的所有身份也不生效。
如何避免指定雲端服務的訪問被管控
管控策略將對被管控成員中的資源存取權限限定邊界,邊界之外的許可權將不允許生效,此限定同樣影響阿里雲服務對該成員訪問的有效性。
阿里雲服務可能使用服務角色訪問您帳號中的資源,以實現雲端服務的某些功能。當一個服務角色的許可權超過管控策略的邊界時,此許可權會受到管控策略的約束,這可能導致雲端服務的某些功能不能正常使用。如果這正是您配置管控策略期望的結果,則無需進行其他額外操作,但是,如果您不希望這些雲端服務被管控,您可以採用以下方法進行處理:
確認您不希望被管控的雲端服務所使用的服務角色名稱。
您可以登入RAM控制台,查看帳號下的所有服務角色。
在造成管控效果的管控策略中增加
Condition key: "acs:PrincipalARN"
的條件,將受影響的雲端服務所使用的服務角色名稱寫入到PrincipalARN
欄位,以避免該服務角色被誤管控。樣本如下:{ "Statement": [ { "Action": [ "ram:UpdateUser" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringNotLike": { "acs:PrincipalARN":"acs:ram:*:*:role/<服務角色名稱>" } } } ], "Version": "1" }
關於管控策略的文法,請參見管控策略語言。
使用限制
具體資訊,請參見資來源目錄使用限制。
暫不支援管控策略的雲端服務
微服務引擎MSE需要升級到對應的引擎版本,才能支援管控策略。
關於MSE引擎版本的詳情,請參見Nacos引擎版本說明。
訊息佇列RocketMQ版的以下應用或叢集暫不支援管控策略。
應用mq-http,不支援管控策略。
應用onsbroker在以下地區,暫不支援管控策略。
阿聯酋(杜拜)
華東2(上海):sh-share9叢集、shvip-st21ujm8f01叢集。
政務云:beijing.gov.vip.v0h0ovmfp02、beijing.gov.vip.nif1zmrlf02,不支援管控策略;vip-cn-north-2-gov-1-45914plw301叢集暫不支援管控策略。