全部產品
Search

搜尋本產品

    Tablestore:自訂Control Policy

    文件中心

    Tablestore:自訂Control Policy

    更新時間:Jun 30, 2024

    通過自訂管控策略(Control Policy)限制訪問資源的許可權邊界。Tablestore支援限制訪問時的TLS版本、限制只能建立使用非公網訪問的執行個體等管控策略,請根據實際配置。

    背景資訊

    資來源目錄管控策略是一種基於資源結構(資源夾或成員)的存取控制策略,可以統一管理資來源目錄各層級內資源訪問的許可權邊界。更多資訊,請參見管控策略概述

    管控策略文法

    管控策略由效果(Effect)、操作(Action)、資源(Resource)和條件(Condition)等基本元素組成。更多資訊,請參見管控策略語言

    組成部分

    元素名稱

    說明

    效果(Effect)

    授權效果包括允許(Allow)和拒絕(Deny)兩種。

    操作(Action)

    操作是指對具體資源的操作。更多資訊,請參見Action定義

    資源(Resource)

    資源是指被授權的具體對象。更多資訊,請參見Resource定義

    條件(Condition)

    條件是指授權生效的條件。更多資訊,請參見管控策略樣本

    管控策略樣本

    Tablestore目前支援限制訪問時的TLS版本、限制只能建立非公網訪問的執行個體等管控策略,請根據實際配置。

    限制訪問時的TLS版本

    通過自訂管控策略限制只允許在指定的TLS版本上訪問Tablestore,用於增強Tablestore訪問安全性。

    以下樣本用於限制請求必須通過TLSv1.2和TLSv1.3版本訪問Tablestore。如果用戶端請求使用TLSv1.2之前版本訪問或者使用TLSv1.3之後版本訪問Tablestore,則請求失敗。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

    限制只能建立非公網訪問的執行個體

    通過自訂管控策略限制使用者只能建立不允許公網訪問的執行個體。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

    典型使用情境

    使用資來源目錄前,需要完成如下準備工作:

    • 已收到使用資來源目錄的邀請記錄。

    • 請使用經過企業實名認證的阿里雲帳號開通資來源目錄。個人實名認證帳號不能開通資來源目錄。具體操作,請參見開通資來源目錄

    • 建立資源夾,搭建企業的組織圖。具體操作,請參見建立資源夾

    • 建立成員或者邀請已有的阿里雲帳號,並將這些成員移動到對應的資源夾下。具體操作,請參見建立成員邀請阿里雲帳號加入資來源目錄移動成員

    情境一:授予使用者只能通過特定TLS版本訪問Tablestore

    1. 使用管理帳號開啟管控策略。

      1. 登入資源管理主控台

      2. 在左側導覽列,選擇資來源目錄 > 管控策略

      3. 單擊開啟管控策略

      4. 單擊確定

      5. 單擊重新整理,查看開啟狀態。

    2. 使用管理帳號通過指令碼編輯模式建立自訂管控策略。

      1. 在左側導覽列,選擇資來源目錄 > 管控策略

      2. 策略列表頁簽,單擊建立策略

      3. 建立策略頁面,單擊指令碼編輯頁簽。

      4. 輸入如下管控策略內容,然後單擊繼續編輯基本資料

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

      5. 輸入管控策略名稱備忘

      6. 根據實際檢查並最佳化管控策略內容。

    3. 使用管理帳號將管控策略綁定到資來源目錄節點(資源夾、成員)。

      配置完成後,添加到資來源目錄中的成員將只能通過TLSv1.2和TLSv1.3版本訪問Tablestore

      1. 在左側導覽列,選擇資來源目錄 > 管控策略

      2. 策略綁定頁簽下的左側組織圖樹中,單擊目標資源夾或成員。

      3. 在右側頁面,單擊繫結原則

      4. 繫結原則對話方塊,選擇需要綁定的管控策略。

      5. 單擊確定

    情境二:授予使用者只能建立非公網訪問的執行個體

    1. 使用管理帳號開啟管控策略。

      1. 登入資源管理主控台

      2. 在左側導覽列,選擇資來源目錄 > 管控策略

      3. 單擊開啟管控策略

      4. 單擊確定

      5. 單擊重新整理,查看開啟狀態。

    2. 使用管理帳號通過指令碼編輯模式建立自訂管控策略。

      1. 在左側導覽列,選擇資來源目錄 > 管控策略

      2. 策略列表頁簽,單擊建立策略

      3. 建立策略頁面,單擊指令碼編輯頁簽。

      4. 輸入如下管控策略內容,然後單擊繼續編輯基本資料

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

      5. 輸入管控策略名稱備忘

      6. 根據實際檢查並最佳化管控策略內容。

    3. 使用管理帳號將管控策略綁定到資來源目錄節點(資源夾、成員)。

      配置完成後,添加到資來源目錄中的成員將只能建立使用非公網訪問的Tablestore執行個體。

      1. 在左側導覽列,選擇資來源目錄 > 管控策略

      2. 策略綁定頁簽下的左側組織圖樹中,單擊目標資源夾或成員。

      3. 在右側頁面,單擊繫結原則

      4. 繫結原則對話方塊,選擇需要綁定的管控策略。

      5. 單擊確定