全部產品
Search
文件中心

Resource Management:自訂管控策略樣本

更新時間:Dec 17, 2024

本文為您介紹自訂管控策略的常用樣本。

禁止修改和刪除RAM使用者、RAM使用者組、RAM角色

策略內容:

{
    "Statement": [
        {
            "Action": [
                "ram:Attach*",
                "ram:Detach*",
                "ram:BindMFADevice",
                "ram:CreateAccessKey",
                "ram:CreateLoginProfile",
                "ram:CreatePolicyVersion",
                "ram:DeleteAccessKey",
                "ram:DeleteGroup",
                "ram:DeleteLoginProfile",
                "ram:DeletePolicy",
                "ram:DeletePolicyVersion",
                "ram:DeleteRole",
                "ram:DeleteUser",
                "ram:DisableVirtualMFA",
                "ram:AddUserToGroup",
                "ram:RemoveUserFromGroup",
                "ram:SetDefaultPolicyVersion",
                "ram:UnbindMFADevice",
                "ram:UpdateAccessKey",
                "ram:UpdateGroup",
                "ram:UpdateLoginProfile",
                "ram:UpdateRole",
                "ram:UpdateUser"
            ],
            "Resource": "*",
            "Effect": "Deny",         
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN":"acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
               }
           }
        }
    ],
    "Version": "1"
}

本策略禁止修改和刪除RAM使用者、RAM使用者組、RAM角色,包括禁止修改其許可權。

說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止修改ResourceDirectoryAccountAccessRole角色及其許可權

策略內容:

{
   "Version": "1",
   "Statement": [
       {
           "Effect": "Deny",
           "Action": [
               "ram:UpdateRole",
               "ram:DeleteRole",
               "ram:AttachPolicyToRole",
               "ram:DetachPolicyFromRole"
           ],
           "Resource": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
       }
   ]
}

禁止修改和刪除指定的RAM使用者

策略內容:

{
    "Version": "1",
    "Statement": [{
        "Action": [
            "ram:AttachPolicyToUser",
            "ram:DetachPolicyFromUser",
            "ram:AddUserToGroup",
            "ram:RemoveUserFromGroup",
            "ram:UpdateUser",
            "ram:DeleteUser",
            "ram:CreateLoginProfile",
            "ram:UpdateLoginProfile",
            "ram:DeleteLoginProfile",
            "ram:CreateAccessKey",
            "ram:DeleteAccessKey",
            "ram:UpdateAccessKey",
            "ram:BindMFADevice",
            "ram:UnbindMFADevice",
            "ram:DisableVirtualMFA"
        ],
        "Resource": [
            "acs:ram:*:*:user/Alice"
        ],
        "Effect": "Deny",
        "Condition": {
            "StringNotLike": {
                "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
            }
        }
    }]
}

本策略禁止修改和刪除指定的RAM使用者(例如:Alice),包括禁止修改其許可權。您也可以明確指定Alice所在的具體阿里雲帳號,例如:acs:ram:*:18299873****:user/Alice

說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止開啟任何已存在RAM使用者的控制台登入

策略內容:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateLoginProfile",
                "ram:UpdateLoginProfile"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ],
    "Version": "1"
}

本策略禁止開啟任何已存在RAM使用者的控制台登入。本策略僅針對已存在的RAM使用者生效,不影響建立RAM使用者時開啟控制台登入的操作。

說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

刪除某些資源時RAM使用者或RAM角色必須使用多因素認證(MFA)

策略內容:

{
  "Statement": [
    {
      "Action": "ecs:DeleteInstance",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "Bool": {
          "acs:MFAPresent": "false"
        }
      }
    }
  ],
  "Version": "1"
}

本策略以刪除ECS執行個體時RAM使用者或RAM角色必須使用多因素認證(MFA)為例。如需刪除其它資源,請將策略中的Action部分修改為相應資源的操作。

禁止修改使用者SSO配置

策略內容:

{
    "Statement": [
        {
            "Action": [
                "ram:SetSamlSsoSettings"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ],
    "Version": "1"
}
說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止修改角色SSO配置

策略內容:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateSAMLProvider",
                "ram:DeleteSAMLProvider",
                "ram:UpdateSAMLProvider"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ],
    "Version": "1"
}
說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止修改Action Trail的投遞地址、禁止關閉投遞功能

策略內容:

{
    "Statement": [
        {
            "Action": [
                "actiontrail:UpdateTrail",
                "actiontrail:DeleteTrail",
                "actiontrail:StopLogging"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ],
    "Version": "1"
}
說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止訪問部分網路服務

策略內容:

{
    "Statement": [
        {
            "Action": [
                "vpc:*HaVip*",
                "vpc:*RouteTable*",
                "vpc:*VRouter*",
                "vpc:*RouteEntry*",
                "vpc:*VSwitch*",
                "vpc:*Vpc*",
                "vpc:*Cen*",           
                "vpc:*NetworkAcl*"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        },
        {
            "Action": [
                "vpc:*VpnGateway*",
                "vpc:*VpnConnection*",
                "vpc:*CustomerGateway*",
                "vpc:*SslVpnServer*",
                "vpc:*SslVpnClientCert*",
                "vpc:*VpnRoute*",
                "vpc:*VpnPbrRoute*"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ],
    "Version": "1"
}

本策略以禁止訪問VPC和VPN網關為例。如需禁止訪問其它網路雲端服務,請將策略中的Action部分修改為相應雲端服務的操作。

說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止建立具有公網訪問能力的網路資源,包括EIP和NAT Gateway

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "vpc:AllocateEipAddress",
                "vpc:AllocateEipAddressPro",
                "vpc:AllocateEipSegmentAddress",
                "vpc:CreateNatGateway"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ]
}
說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止訪問串連雲下資源的網路服務

策略內容:

{
    "Statement": [
       {
            "Action": [
                "vpc:*PhysicalConnection*",
                "vpc:*VirtualBorderRouter*",
                "cen:*",
                "vpc:*VpnGateway*",
                "vpc:*VpnConnection*",
                "vpc:*CustomerGateway*",
                "vpc:*SslVpnServer*",
                "vpc:*SslVpnClientCert*",
                "vpc:*VpnRoute*",
                "vpc:*VpnPbrRoute*",
                "smartag:*"
            ],
            "Resource": "*",
            "Effect": "Deny"         
        }
    ],
    "Version": "1"
}

本策略禁止訪問串連雲下資源的網路服務,包括:Express Connect的物理專線和邊界路由器、雲企業網、VPN網關、Smart Access Gateway。

禁止訪問費用中心的部分功能

策略內容:

{
    "Statement": [
       {
            "Action": [
                "bss:DescribeOrderList",
                "bss:DescribeOrderDetail",
                "bss:PayOrder",
                "bss:CancelOrder"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ],
    "Version": "1"
}

本策略以禁止訪問費用中心的訂單功能為例。如需禁止訪問其它功能,請將策略中的Action部分修改為相應的操作。

說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止修改CloudMonitor配置

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cms:Put*",
                "cms:Update*",
                "cms:Create*",
                "cms:Modify*",
                "cms:Disable*",
                "cms:Enable*",
                "cms:Delete*",
                "cms:Send*",
                "cms:Subscribe*",
                "cms:Unsubscribe*",
                "cms:Remove*",
                "cms:CreateAction",
                "cms:Pause*",
                "cms:Stop*",
                "cms:Start*",
                "cms:BatchCreate*",
                "cms:ProfileSet",
                "cms:ApplyMonitoringTemplate"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
                }
            }
        }
    ]
}
說明

本策略只允許資來源目錄預設用來訪問成員的角色ResourceDirectoryAccountAccessRole執行此操作。您可以刪除該Condition,禁止所有RAM使用者和RAM角色執行此操作。您也可以添加或修改PrincipalARN的值,自訂限制條件。

禁止購買預留執行個體券

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:PurchaseReservedInstancesOffering"
            ],
            "Resource": "*",
            "Effect": "Deny"
        }
    ]
}

禁止在非指定VPC下建立ECS執行個體

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateInstance",
                "ecs:RunInstances"
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "StringNotLike": {
                    "vpc:VPC": "acs:vpc:cn-shenzhen:*:vpc/vpc-wz95ya85js0avrkabc****"
                }
            }
        }
    ]
}

本策略的樣本中指定VPC為acs:vpc:cn-shenzhen:*:vpc/vpc-wz95ya85js0avrkabc****,實際使用時請替換為自己的VPC資訊。

禁止購買網域名稱

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "domain:CreateOrderActivate"
            ],
            "Resource": "*",
            "Effect": "Deny"
        }
    ]
}

禁止訪問工單系統

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "support:*",
                "workorder:*"
            ],
            "Resource": "*",
            "Effect": "Deny"
        }
    ]
}

禁止訪問特定地區的ECS服務

策略內容:

{
    "Version": "1",
    "Statement": [{
        "Effect": "Deny",
        "Action": [
            "ecs:*"
        ],
        "Resource": "acs:ecs:us-east-1:*:*"
    }]
}

本策略禁止在美國東部(維吉尼亞)地區使用ECS服務。

禁止組織外資源共用

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "resourcesharing:CreateResourceShare",
                "resourcesharing:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "resourcesharing:RequestedAllowExternalTargets": "true"
                }
            }
        }
    ]
}

通過本策略可以防止使用者建立允許共用給組織外帳號的共用單元。

禁止將資源共用給預期外的帳號

策略內容:

{
    "Version": "1",
    "Statement": [
      {
        "Effect": "Deny",
            "Action": [
                "resourcesharing:AssociateResourceShare",
                "resourcesharing:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotLike": {
                    "resourcesharing:Target": [
                        "rd-3G****/r-Wm****/*",
                        "rd-3G****/r-Wm****",
                        "192796193830****"
                    ]
                }
            }
        }
    ]
}

本策略僅允許將資源共用給帳號192796193830****、資源夾rd-3G****/r-Wm****下的所有成員,禁止共用給其他帳號。請替換成您自己的目標帳號。

禁止使用者接受組織外帳號的資源共用邀請

策略內容:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resourcesharing:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

本策略會阻止使用者接受組織外帳號的資源共用邀請。與共用帳號屬於同一資來源目錄時不會產生共用邀請,因此不受此策略的影響。

僅允許共用指定的資源類型

策略內容:

{
  "Version":  "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "resourcesharing:CreateResourceShare",
        "resourcesharing:AssociateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "resourcesharing:RequestedResourceType": ["VSwitch","Image","Snapshot"]
        }
      }
    }
  ]
}

本策略僅允許共用交換器VSwitch、鏡像Image和快照Snapshot,禁止共用除這些資源類型以外的其他資源。資源類型代碼請參見支援資源共用的雲端服務資源類型列。

僅允許共用指定的資源

策略內容:

{
  "Version":  "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "resourcesharing:CreateResourceShare",
        "resourcesharing:AssociateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "resourcesharing:ResourceArn": [
            "acs:vpc:cn-shanghai:131993166204****:vswitch/vsw-7xv4sfwo86u2etl64****",
            "acs:ecs:cn-shanghai:131993166204****:snapshot/s-7xviog7aq4tenbqj****"
          ]
        }
      }
    }
  ]
}

本策略僅允許共用阿里雲帳號131993166204****下的指定交換器vsw-7xv4sfwo86u2etl64****和指定快照s-7xviog7aq4tenbqj****,禁止共用除這些資源以外的其他資源。資源ARN格式請參見支援資源共用的雲端服務資源ARN列。

僅允許從IPAM地址池建立VPC

策略內容:

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

本策略僅允許從IPAM位址集區建立VPC。

僅允許從指定IPAM地址池建立VPC

策略內容:

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-bp1dt0ttxkrzpq5nr****"
        }
      }
    }
  ],
  "Version": "1"
}     

本策略僅允許從指定IPAM位址集區ipam-pool-bp1dt0ttxkrzpq5nr****建立VPC。