通過自定義管控策略(Control Policy)限制訪問資源的權限邊界。表格存儲支持限制訪問時的TLS版本、限制只能創建使用非公網訪問的實例等管控策略,請根據實際配置。
背景信息
資源目錄管控策略是一種基于資源結構(資源夾或成員)的訪問控制策略,可以統一管理資源目錄各層級內資源訪問的權限邊界。更多信息,請參見管控策略概述。
管控策略語法
管控策略由效果(Effect)、操作(Action)、資源(Resource)和條件(Condition)等基本元素組成。更多信息,請參見管控策略語言。
組成部分
元素名稱 | 說明 |
效果(Effect) | 授權效果包括允許(Allow)和拒絕(Deny)兩種。 |
操作(Action) | 操作是指對具體資源的操作。更多信息,請參見Action定義。 |
資源(Resource) | 資源是指被授權的具體對象。更多信息,請參見Resource定義。 |
條件(Condition) | 條件是指授權生效的條件。更多信息,請參見管控策略示例。 |
管控策略示例
表格存儲目前支持限制訪問時的TLS版本、限制只能創建非公網訪問的實例等管控策略,請根據實際配置。
限制訪問時的TLS版本
通過自定義管控策略限制只允許在指定的TLS版本上訪問表格存儲,用于增強表格存儲訪問安全性。
以下示例用于限制請求必須通過TLSv1.2和TLSv1.3版本訪問表格存儲。如果客戶端請求使用TLSv1.2之前版本訪問或者使用TLSv1.3之后版本訪問表格存儲,則請求失敗。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ots:*",
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ots:TLSVersion": [
"TLSv1.2",
"TLSv1.3"
]
}
}
}
]
}
限制只能創建非公網訪問的實例
通過自定義管控策略限制用戶只能創建不允許公網訪問的實例。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ots:InsertInstance",
"ots:CreateInstance",
"ots:UpdateInstance"
],
"Resource": "*",
"Condition": {
"Bool": {
"ots:AllowInstanceInternetAccess": [
"true"
]
}
}
}
]
}
典型使用場景
使用資源目錄前,需要完成如下準備工作:
已收到使用資源目錄的邀請記錄。
請使用經過企業實名認證的阿里云賬號開通資源目錄。個人實名認證賬號不能開通資源目錄。具體操作,請參見開通資源目錄。
創建資源夾,搭建企業的組織結構。具體操作,請參見創建資源夾。
創建成員或者邀請已有的阿里云賬號,并將這些成員移動到對應的資源夾下。具體操作,請參見創建成員、邀請阿里云賬號加入資源目錄和移動成員。
場景一:授予用戶只能通過特定TLS版本訪問表格存儲
使用管理賬號開啟管控策略。
登錄資源管理控制臺。
在左側導航欄,選擇
。單擊開啟管控策略。
單擊確定。
單擊刷新,查看開啟狀態。
使用管理賬號通過腳本編輯模式創建自定義管控策略。
在左側導航欄,選擇
。在策略列表頁簽,單擊創建策略。
在創建策略頁面,單擊腳本編輯頁簽。
輸入如下管控策略內容,然后單擊繼續編輯基本信息。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ots:*", ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ots:TLSVersion": [ "TLSv1.2", "TLSv1.3" ] } } } ] }
輸入管控策略名稱和備注。
根據實際檢查并優化管控策略內容。
使用管理賬號將管控策略綁定到資源目錄節點(資源夾、成員)。
配置完成后,添加到資源目錄中的成員將只能通過TLSv1.2和TLSv1.3版本訪問表格存儲。
在左側導航欄,選擇
。在策略綁定頁簽下的左側組織結構樹中,單擊目標資源夾或成員。
在右側頁面,單擊綁定策略。
在綁定策略對話框,選擇需要綁定的管控策略。
單擊確定。
場景二:授予用戶只能創建非公網訪問的實例
使用管理賬號開啟管控策略。
登錄資源管理控制臺。
在左側導航欄,選擇
。單擊開啟管控策略。
單擊確定。
單擊刷新,查看開啟狀態。
使用管理賬號通過腳本編輯模式創建自定義管控策略。
在左側導航欄,選擇
。在策略列表頁簽,單擊創建策略。
在創建策略頁面,單擊腳本編輯頁簽。
輸入如下管控策略內容,然后單擊繼續編輯基本信息。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ots:InsertInstance", "ots:CreateInstance", "ots:UpdateInstance" ], "Resource": "*", "Condition": { "Bool": { "ots:AllowInstanceInternetAccess": [ "true" ] } } } ] }
輸入管控策略名稱和備注。
根據實際檢查并優化管控策略內容。
使用管理賬號將管控策略綁定到資源目錄節點(資源夾、成員)。
配置完成后,添加到資源目錄中的成員將只能創建使用非公網訪問的表格存儲實例。
在左側導航欄,選擇
。在策略綁定頁簽下的左側組織結構樹中,單擊目標資源夾或成員。
在右側頁面,單擊綁定策略。
在綁定策略對話框,選擇需要綁定的管控策略。
單擊確定。