私网连接(PrivateLink)支持设置终端节点策略,您可以将其绑定到VPC终端节点来控制哪些阿里云主体能使用终端节点访问阿里云服务,从而增强网络安全性,保护敏感数据,满足特定的安全需求。
终端节点策略类型
终端节点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口终端节点连接到对象存储 OSS(Object Storage Service),则还可以使用OSS存储桶策略来控制从特定终端节点或特定VPC对存储桶的访问。目前终端节点策略支持两种类型:
默认策略
默认终端节点允许完全访问,策略内容如下所示:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
自定义策略
支持您根据实际需要自定义策略内容。更多信息,请参见权限策略基本元素。
注意事项
终端节点策略是一种使用RAM policy语言的JSON策略文档。终端节点策略需满足权限策略语法和结构,详情请参见权限策略语法和结构。
为阿里云服务(即阿里云一方云服务)创建接口终端节点时,您可以为单个终端节点设置策略,也可以随时更新终端节点策略。如果您没有设置终端节点策略,系统将添加默认终端节点策略,默认该终端节点允许被完全访问。
并非所有阿里云服务都支持终端节点策略。如果阿里云服务不支持终端节点策略,则表示服务允许被完全访问。目前支持配置终端节点策略的阿里云服务有操作审计(ActionTrail)。
当您为其他终端节点服务而非阿里云服务创建终端节点时,该终端节点允许被完全访问。关于其他终端节点服务和阿里云服务的区别,请参见什么是阿里云服务和其他终端节点服务。