本文為您介紹自訂管控策略的常用樣本。
禁止修改和刪除RAM使用者、RAM使用者組、RAM角色
策略內容:
{
"Statement": [
{
"Action": [
"ram:Attach*",
"ram:Detach*",
"ram:BindMFADevice",
"ram:CreateAccessKey",
"ram:CreateLoginProfile",
"ram:CreatePolicyVersion",
"ram:DeleteAccessKey",
"ram:DeleteGroup",
"ram:DeleteLoginProfile",
"ram:DeletePolicy",
"ram:DeletePolicyVersion",
"ram:DeleteRole",
"ram:DeleteUser",
"ram:DisableVirtualMFA",
"ram:AddUserToGroup",
"ram:RemoveUserFromGroup",
"ram:SetDefaultPolicyVersion",
"ram:UnbindMFADevice",
"ram:UpdateAccessKey",
"ram:UpdateGroup",
"ram:UpdateLoginProfile",
"ram:UpdateRole",
"ram:UpdateUser"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN":"acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略禁止修改和刪除RAM使用者、RAM使用者組、RAM角色,包括禁止修改其許可權。
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止修改ResourceDirectoryAccountAccessRole角色及其許可權
策略內容:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:UpdateRole",
"ram:DeleteRole",
"ram:AttachPolicyToRole",
"ram:DetachPolicyFromRole"
],
"Resource": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
]
}
禁止修改和刪除指定的RAM使用者
策略內容:
{
"Version": "1",
"Statement": [{
"Action": [
"ram:AttachPolicyToUser",
"ram:DetachPolicyFromUser",
"ram:AddUserToGroup",
"ram:RemoveUserFromGroup",
"ram:UpdateUser",
"ram:DeleteUser",
"ram:CreateLoginProfile",
"ram:UpdateLoginProfile",
"ram:DeleteLoginProfile",
"ram:CreateAccessKey",
"ram:DeleteAccessKey",
"ram:UpdateAccessKey",
"ram:BindMFADevice",
"ram:UnbindMFADevice",
"ram:DisableVirtualMFA"
],
"Resource": [
"acs:ram:*:*:user/Alice"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}]
}
本策略禁止修改和刪除指定的RAM使用者(例如:Alice),包括禁止修改其許可權。您也可以明確指定Alice所在的具體阿里雲帳號,例如:acs:ram:*:18299873****:user/Alice
。
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止開啟任何已存在RAM使用者的控制台登入
策略內容:
{
"Statement": [
{
"Action": [
"ram:CreateLoginProfile",
"ram:UpdateLoginProfile"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略禁止開啟任何已存在RAM使用者的控制台登入。本策略僅針對已存在的RAM使用者生效,不影響建立RAM使用者時開啟控制台登入的操作。
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
刪除某些資源時RAM使用者或RAM角色必須使用多因素認證(MFA)
策略內容:
{
"Statement": [
{
"Action": "ecs:DeleteInstance",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Bool": {
"acs:MFAPresent": "false"
}
}
}
],
"Version": "1"
}
本策略以刪除ECS執行個體時RAM使用者或RAM角色必須使用多因素認證(MFA)為例。如需刪除其它資源,請將策略中的Action部分修改為相應資源的操作。
禁止修改使用者SSO配置
策略內容:
{
"Statement": [
{
"Action": [
"ram:SetSamlSsoSettings"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止修改角色SSO配置
策略內容:
{
"Statement": [
{
"Action": [
"ram:CreateSAMLProvider",
"ram:DeleteSAMLProvider",
"ram:UpdateSAMLProvider"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止修改Action Trail的投遞地址、禁止關閉投遞功能
策略內容:
{
"Statement": [
{
"Action": [
"actiontrail:UpdateTrail",
"actiontrail:DeleteTrail",
"actiontrail:StopLogging"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止訪問部分網路服務
策略內容:
{
"Statement": [
{
"Action": [
"vpc:*HaVip*",
"vpc:*RouteTable*",
"vpc:*VRouter*",
"vpc:*RouteEntry*",
"vpc:*VSwitch*",
"vpc:*Vpc*",
"vpc:*Cen*",
"vpc:*NetworkAcl*"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
},
{
"Action": [
"vpc:*VpnGateway*",
"vpc:*VpnConnection*",
"vpc:*CustomerGateway*",
"vpc:*SslVpnServer*",
"vpc:*SslVpnClientCert*",
"vpc:*VpnRoute*",
"vpc:*VpnPbrRoute*"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略以禁止訪問VPC和VPN網關為例。如需禁止訪問其它網路雲端服務,請將策略中的Action部分修改為相應雲端服務的操作。
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止建立具有公網訪問能力的網路資源,包括EIP和NAT Gateway
策略內容:
{
"Version": "1",
"Statement": [
{
"Action": [
"vpc:AllocateEipAddress",
"vpc:AllocateEipAddressPro",
"vpc:AllocateEipSegmentAddress",
"vpc:CreateNatGateway"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
]
}
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止訪問串連雲下資源的網路服務
策略內容:
{
"Statement": [
{
"Action": [
"vpc:*PhysicalConnection*",
"vpc:*VirtualBorderRouter*",
"cen:*",
"vpc:*VpnGateway*",
"vpc:*VpnConnection*",
"vpc:*CustomerGateway*",
"vpc:*SslVpnServer*",
"vpc:*SslVpnClientCert*",
"vpc:*VpnRoute*",
"vpc:*VpnPbrRoute*",
"smartag:*"
],
"Resource": "*",
"Effect": "Deny"
}
],
"Version": "1"
}
本策略禁止訪問串連雲下資源的網路服務,包括:Express Connect的物理專線和邊界路由器、雲企業網、VPN網關、Smart Access Gateway。
禁止訪問費用中心的部分功能
策略內容:
{
"Statement": [
{
"Action": [
"bss:DescribeOrderList",
"bss:DescribeOrderDetail",
"bss:PayOrder",
"bss:CancelOrder"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}
本策略以禁止訪問費用中心的訂單功能為例。如需禁止訪問其它功能,請將策略中的Action部分修改為相應的操作。
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止修改CloudMonitor配置
策略內容:
{
"Version": "1",
"Statement": [
{
"Action": [
"cms:Put*",
"cms:Update*",
"cms:Create*",
"cms:Modify*",
"cms:Disable*",
"cms:Enable*",
"cms:Delete*",
"cms:Send*",
"cms:Subscribe*",
"cms:Unsubscribe*",
"cms:Remove*",
"cms:CreateAction",
"cms:Pause*",
"cms:Stop*",
"cms:Start*",
"cms:BatchCreate*",
"cms:ProfileSet",
"cms:ApplyMonitoringTemplate"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
]
}
本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。
禁止購買預留執行個體券
策略內容:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:PurchaseReservedInstancesOffering"
],
"Resource": "*",
"Effect": "Deny"
}
]
}
禁止在非指定VPC下建立ECS執行個體
策略內容:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateInstance",
"ecs:RunInstances"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"vpc:VPC": "acs:vpc:cn-shenzhen:*:vpc/vpc-wz95ya85js0avrkabc****"
}
}
}
]
}
本策略的樣本中指定VPC為acs:vpc:cn-shenzhen:*:vpc/vpc-wz95ya85js0avrkabc****
,實際使用時請替換為自己的VPC資訊。
禁止購買網域名稱
策略內容:
{
"Version": "1",
"Statement": [
{
"Action": [
"domain:CreateOrderActivate"
],
"Resource": "*",
"Effect": "Deny"
}
]
}
禁止訪問工單系統
策略內容:
{
"Version": "1",
"Statement": [
{
"Action": [
"support:*",
"workorder:*"
],
"Resource": "*",
"Effect": "Deny"
}
]
}
禁止訪問特定地區的ECS服務
策略內容:
{
"Version": "1",
"Statement": [{
"Effect": "Deny",
"Action": [
"ecs:*"
],
"Resource": "acs:ecs:us-east-1:*:*"
}]
}
本策略禁止在美國東部(維吉尼亞)地區使用ECS服務。
禁止組織外資源共用
策略內容:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:CreateResourceShare",
"resourcesharing:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"resourcesharing:RequestedAllowExternalTargets": "true"
}
}
}
]
}
通過本策略可以防止使用者建立允許共用給組織外帳號的共用單元。
禁止將資源共用給預期外的帳號
策略內容:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:AssociateResourceShare",
"resourcesharing:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotLike": {
"resourcesharing:Target": [
"rd-3G****/r-Wm****/*",
"rd-3G****/r-Wm****",
"192796193830****"
]
}
}
}
]
}
本策略僅允許將資源共用給帳號192796193830****
、資源夾rd-3G****/r-Wm****
下的所有成員,禁止共用給其他帳號。請替換成您自己的目標帳號。
禁止使用者接受組織外帳號的資源共用邀請
策略內容:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "resourcesharing:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
本策略會阻止使用者接受組織外帳號的資源共用邀請。與共用帳號屬於同一資來源目錄時不會產生共用邀請,因此不受此策略的影響。
僅允許共用指定的資源類型
策略內容:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:CreateResourceShare",
"resourcesharing:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"resourcesharing:RequestedResourceType": ["VSwitch","Image","Snapshot"]
}
}
}
]
}
本策略僅允許共用交換器VSwitch
、鏡像Image
和快照Snapshot
,禁止共用除這些資源類型以外的其他資源。資源類型代碼請參見支援資源共用的雲端服務的資源類型列。
僅允許共用指定的資源
策略內容:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:CreateResourceShare",
"resourcesharing:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"resourcesharing:ResourceArn": [
"acs:vpc:cn-shanghai:131993166204****:vswitch/vsw-7xv4sfwo86u2etl64****",
"acs:ecs:cn-shanghai:131993166204****:snapshot/s-7xviog7aq4tenbqj****"
]
}
}
}
]
}
本策略僅允許共用阿里雲帳號131993166204****
下的指定交換器vsw-7xv4sfwo86u2etl64****
和指定快照s-7xviog7aq4tenbqj****
,禁止共用除這些資源以外的其他資源。資源ARN格式請參見支援資源共用的雲端服務的資源ARN列。
僅允許從IPAM地址池建立VPC
策略內容:
{
"Statement": [
{
"Action": [
"vpc:CreateVpc",
"vpc:AssociateVpcCidrBlock"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"Null": {
"vpc:Ipv4IpamPoolId": "true"
}
}
}
],
"Version": "1"
}
本策略僅允許從IPAM位址集區建立VPC。
僅允許從指定IPAM地址池建立VPC
策略內容:
{
"Statement": [
{
"Action": [
"vpc:CreateVpc",
"vpc:AssociateVpcCidrBlock"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"ForAllValues:StringNotLikeIfExists": {
"vpc:Ipv4IpamPoolId": "ipam-pool-bp1dt0ttxkrzpq5nr****"
}
}
}
],
"Version": "1"
}
本策略僅允許從指定IPAM位址集區ipam-pool-bp1dt0ttxkrzpq5nr****
建立VPC。