资源目录管控策略是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(RAM)设置权限后,相应身份才具备对资源的访问权限。

应用场景

当企业创建了一个资源目录,并为每个部门创建了成员后,如果对各成员的行为不加以管控,就会破坏运维规则,带来安全风险和成本浪费。资源目录提供管控策略功能,企业可以通过管理账号集中制定管理规则,并将这些管理规则应用于资源目录的各级资源结构(资源夹、成员)上,管控各成员内资源的访问规则,确保安全合规和成本可控。例如:禁止成员申请域名、禁止成员删除日志记录等。

管控策略类型

  • 系统管控策略

    系统自带的管控策略。您只能查看,不能创建、修改和删除系统管控策略。开启管控策略功能后,资源目录内所有的资源夹和成员默认绑定了系统策略FullAliyunAccess,该策略允许对您在阿里云上的所有资源进行任何操作。

  • 自定义管控策略

    用户自定义的管控策略。您可以创建、修改和删除自定义管控策略。自定义管控策略创建成功后,您需要将自定义管控策略绑定到资源夹或成员上,才能生效。不需要时,也可以随时解绑。

    说明 自定义管控策略仅支持设置拒绝(Deny)策略。

工作原理

管控策略的工作原理如下:

  1. 使用管理账号开启管控策略功能。更多信息,请参见开启管控策略功能

    开启管控策略功能后,系统策略FullAliyunAccess将默认绑定到资源目录内的所有资源夹及成员,此策略允许所有操作,以防止管控策略的不当配置造成意料之外的访问失败。

  2. 使用管理账号创建管控策略。更多信息,请参见创建自定义管控策略
  3. 使用管理账号将管控策略绑定到资源目录节点(资源夹、成员)。更多信息,请参见绑定自定义管控策略

    管控策略允许绑定到资源目录中的任何资源夹或成员。管控策略具备向下继承的特点,例如:为父资源夹设置管控策略A,为子资源夹设置管控策略B,则管控策略A和管控策略B都会在子资源夹及其下的成员中生效。

    说明 请先进行局部小范围测试,确保策略的有效性与预期一致,然后再绑定到全部目标节点(资源夹、成员)。
  4. 当成员中的RAM用户或RAM角色访问阿里云服务时,阿里云将会先进行管控策略检查,再进行账号内的RAM权限检查。具体如下:
    • 管控策略鉴权从被访问资源所在账号开始,沿着资源目录层级逐级向上进行。
    • 在任一层级进行管控策略鉴权时,命中拒绝(Deny)策略时都可以直接判定结果为拒绝(Explicit Deny),结束整个管控策略鉴权流程,并且不再进行账号内基于RAM权限策略的鉴权,直接拒绝请求。
    • 在任一层级进行管控策略鉴权时,如果既未命中拒绝(Deny)策略,也未命中允许(Allow)策略,同样直接判定结果为拒绝(Explicit Deny),不再进入下一个层级鉴权,结束整个管控策略鉴权流程,并且不再进行账号内基于RAM权限策略的鉴权,直接拒绝请求。
    • 在某一层级鉴权中,如果未命中拒绝(Deny)策略,而命中了允许(Allow)策略,则本层级鉴权通过,继续在父节点上进行管控策略鉴权,直至Root资源夹为止。如果Root资源夹鉴权结果也为通过,则整个管控策略鉴权通过,接下来进入账号内基于RAM权限策略的鉴权。更多信息,请参见权限策略判定流程
    • 管控策略对服务关联角色不生效。关于服务关联角色的详情,请参见服务关联角色
    • 阿里云将会评估被访问的账号自身及其所在的每一层级上绑定的管控策略,从而确保绑定在较高层级上的管控策略可以在其下的所有账号上生效。
    说明 RD管控策略对所有资源账号以及云账号中的RAM用户和RAM角色均生效。

避免指定云服务访问被管控

管控策略将对被管控成员中的资源访问权限限定边界,边界之外的权限将不允许生效,此限定同样影响阿里云服务对该成员访问的有效性。

阿里云服务可能使用服务角色访问您账号中的资源,以实现云服务的某些功能。当一个服务角色的权限超过管控策略的边界时,此权限会受到管控策略的约束,这可能导致云服务的某些功能不能正常使用。如果这正是您配置管控策略期望的结果,则无需进行其他额外操作,但是,如果您不希望这些云服务被管控,您可以采用以下方法进行处理:

  1. 确认您不希望被管控的云服务所使用的服务角色名称。

    您可以登录RAM控制台,查看账号下的所有服务角色。

  2. 在造成管控效果的管控策略中增加Condition key: "acs:PrincipalArn"的条件,将受影响的云服务所使用的服务角色名称写入到PrincipalArn字段,以避免该服务角色被误管控。示例如下:
    {
        "Statement": [
            {
                "Action": [
                    "ram:UpdateUser"
                ],
                "Resource": "*",
                "Effect": "Deny",         
                "Condition": {
                    "StringNotLike": {
                        "acs:PrincipalARN":"acs:ram:*:*:role/<服务角色名称>"
                   }
               }
            }
        ],
        "Version": "1"
    }

    关于管控策略的语法,请参见管控策略语言

使用限制

限制项 最大值
资源目录内最多允许创建自定义管控策略的数量 1500个
每个节点(资源夹、成员)最多允许绑定自定义管控策略的数量 10个
每个自定义策略的最大长度 2048个字符

支持管控策略的云服务

云服务 子服务/子模块 RAM代码 相关API文档
访问控制 不涉及 ram RAM API概览
访问控制 不涉及 ims IMS API概览
云服务器ECS 云服务器ECS ecs 云服务器ECS API概览
云服务器ECS 块存储 ecs 云服务器ECS API概览
云服务器ECS GPU云服务器 ecs 云服务器ECS API概览
云服务器ECS 弹性裸金属服务器 ecs 云服务器ECS API概览
云服务器ECS 超级计算集群 ecs 云服务器ECS API概览
云服务器ECS 专有宿主机 ecs 云服务器ECS API概览
云服务器ECS Alibaba Cloud Linux 2 ecs 云服务器ECS API概览
弹性伸缩 不涉及 ess 弹性伸缩API概览
容器服务 不涉及 cs
容器服务Kubernetes版 不涉及 cs 容器服务Kubernetes版API概览
轻量应用服务器 不涉及 swas 轻量应用服务器API概览
弹性高性能计算 不涉及 ehpc 弹性高性能计算API概览
容器镜像服务 不涉及 cr 容器镜像服务API概览
云桌面 云桌面 gws
云桌面 弹性云桌面 ecd 弹性云桌面API概览
弹性容器实例 不涉及 eci 弹性容器实例API概览
弹性加速计算实例 不涉及 eais 弹性加速计算实例API概览
关系型数据库 关系型数据库 rds 关系型数据库API概览
关系型数据库 云数据库MySQL版 rds 云数据库MySQL版API概览
关系型数据库 云数据库SQL Server版 rds 云数据库SQL Server版API概览
关系型数据库 云数据库PostgreSQL版 rds 云数据库PostgreSQL版API概览
关系型数据库 云数据库PPAS版 rds 云数据库PPAS版API概览
关系型数据库 云数据库专属集群 rds 云数据库专属集群API概览
云数据库Redis版 不涉及 kvstore 云数据库Redis版API概览
云数据库Memcache版 不涉及 kvstore 云数据库Memcache版API概览
云数据库MongoDB版 不涉及 mongodb 云数据库MongoDB版API概览
云原生数据仓库AnalyticDB PostgreSQL版 不涉及 gpdb 云原生数据仓库AnalyticDB PostgreSQL版API概览
HybridDB for MySQL(已下线) 不涉及 petadata
数据传输 不涉及 dts 数据传输API概览
数据管理 不涉及 dms 数据管理API概览
云原生数据仓库AnalyticDB MySQL版 不涉及 adb 云原生数据仓库AnalyticDB MySQL版API概览
云数据库HBase版 不涉及 hbase 云数据库HBase版API概览
数据库和应用迁移 不涉及 adam
云原生关系型数据库PolarDB 不涉及 polardb 云原生关系型数据库PolarDB API概览
数据库备份 不涉及 dbs 数据库备份API概览
数据库自治服务 不涉及 hdm
云原生数据湖分析 不涉及 openanalytics 云原生数据湖分析API概览
图数据库 不涉及 gdb
数据库专家服务 不涉及 dbes
云数据库Cassandra版 不涉及 cassandra 云数据库Cassandra版API概览
可信账本数据库 不涉及 ledgerdb 可信账本数据库API概览
云数据库ClickHouse版 不涉及 clickhouse 云数据库ClickHouse版API概览
数据库网关DG(公测中) 不涉及 dg 数据库网关DG API概览
文件存储NAS 不涉及 nas 文件存储NAS API概览
云存储网关 不涉及 hcs-sgw 云存储网关API概览
数据库文件存储 不涉及 dbfs 数据库文件存储API概览
相册与网盘服务 不涉及 pds 相册与网盘服务API概览
内容协作平台(公测中) 不涉及 ccp
云会议 不涉及 aliyuncvc
负载均衡 负载均衡 slb 负载均衡API概览
负载均衡 应用型负载均衡 alb 负载均衡API概览
专有网络VPC 不涉及 vpc 专有网络VPC API概览
高速通道 不涉及 vpc 高速通道API概览
NAT网关 不涉及 vpc NAT网关API概览
VPN网关 不涉及 vpc VPN网关API概览
共享带宽 不涉及 vpc 共享带宽API概览
IPv6转换服务 不涉及 vpc
弹性公网IP 不涉及 eip 弹性公网IP API概览
全球加速 不涉及 ga 全球加速API概览
云解析PrivateZone 不涉及 pvtz 云解析PrivateZone API概览
云企业网 不涉及 cen 云企业网API概览
智能接入网关 不涉及 smartag 智能接入网关API概览
私网连接 不涉及 privatelink 私网连接API概览
智能顾问 不涉及 advisor
OpenAPI Explorer IaC服务 iac
云命令行 不涉及 cloudshell
配置审计 不涉及 config 配置审计API概览
逻辑编排 不涉及 composer 逻辑编排API概览
运维编排 不涉及 oos 运维编排API概览
云网管 不涉及 cmn 云网管API概览
企业级分布式应用服务 不涉及 edas 企业级分布式应用服务API概览
性能测试 不涉及 pts 性能测试API概览
应用高可用服务 不涉及 ahas 应用高可用服务API概览
服务网格 不涉及 servicemesh
CDN 不涉及 cdn CDN API概览
视频点播 不涉及 vod 视频点播API概览
媒体处理 不涉及 mts 媒体处理API概览
PCDN 不涉及 pcdn PCDN API概览
安全加速SCDN 不涉及 scdn 安全加速SCDN API概览
音视频通信 不涉及 rtc 音视频通信API概览
rtc-white-board 互动白板API概览
边缘节点服务ENS 不涉及 ens 边缘节点服务ENS API概览
全站加速 不涉及 dcdn 全站加速API概览
视频监控 不涉及 vs 视频监控API概览
智能视觉 不涉及 ivision 智能视觉API概览
智能媒体生产 不涉及 ice 智能媒体生产API概览
闪电立方 不涉及 mgw
API网关 不涉及 apigateway API网关API概览
云投屏 不涉及 itaas-cd
资源管理 资源管理 resourcemanager 资源管理API概览
资源管理 标签 tag 标签API概览
应用发现服务 不涉及 apds
Teambition 不涉及 teambition
金融分布式架构 不涉及 sofa 金融分布式架构API概览
云行情 不涉及 assettech
移动数据分析 不涉及 man
移动热修复 不涉及 hotfix
移动测试 不涉及 mqc
移动研发平台 不涉及 emasdevops
小程序云 不涉及 mpca 小程序云API概览
域名 不涉及 domain 域名API概览
云解析DNS 云解析DNS alidns 云解析DNS API概览
HTTPDNS 不涉及 httpdns
工商财税 不涉及 companyreg
图片与设计 不涉及 premiumpics
智能对话分析 不涉及 sca 智能对话分析API概览
智能对话机器人 不涉及 chatbot 智能对话机器人API概览
智能数据助理 不涉及 chatbot
云呼叫中心 云呼叫中心 ccc 云呼叫中心API概览
云呼叫中心 智能语音导航 voicebot 智能语音导航API概览
智能外呼机器人 不涉及 outboundbot 智能外呼机器人API概览
智能双录质检 不涉及 idrsservice 智能双录质检API概览
区块链服务 分布式数字身份 baasdis 分布式数字身份API概览
区块链服务 可信计算服务 baascccs
智能设计 不涉及 luban
机器学习 不涉及 pai 机器学习API概览
智能语音交互 不涉及 nls
视觉计算服务 不涉及 vcs 视觉计算服务API概览
多媒体AI 短视频生产平台 svgp 多媒体AI API概览
三维空间重建 不涉及 tdsr
卫星及无人机遥感影像分析产品 不涉及 rsimganalys
全息空间 不涉及 holowatcher
物联网平台 不涉及 iot 物联网平台API概览
物联网数据分析服务 不涉及 iot 物联网数据分析服务API概览
物联网边缘计算 不涉及 iot 物联网边缘计算API概览
云原生多模数据库Lindorm 云原生多模数据库Lindorm lindorm 云原生多模数据库Lindorm API概览
云原生多模数据库Lindorm 时序数据库TSDB hitsdb 时序数据库TSDB API概览
智联车管理云平台 不涉及 iovcc 智联车管理云平台API概览
物联网络管理平台 不涉及 linkwan 物联网络管理平台API概览
物联网智能视频服务 不涉及 linkvisual 物联网智能视频服务API概览
IoT安全运营中心(公测中) IoT安全运营中心 isoc IoT安全运营中心API概览
DataV数据可视化 不涉及 datav
Databricks数据洞察 不涉及 ddi Databricks数据洞察API概览
工业大脑开放平台(公测中) 不涉及 brain-industrial
关系网络分析 不涉及 iplus
交互式分析 不涉及 hologram
数据集成 不涉及 cdp
CodePipeline 不涉及 codepipeline CodePipeline API概览
Node.js性能平台 不涉及 npp
云效 不涉及 rdc 云效API概览
移动开发平台mPaaS 不涉及 mpaas
安全管家 不涉及 mssp
安全众测 不涉及 yundun-xianzhi
数据安全中心 不涉及 yundun-sddp 数据安全中心API概览
密钥管理服务 不涉及 kms 密钥管理服务API概览
堡垒机 堡垒机 yundun-bastionhost 堡垒机API概览
应用身份服务(IDaaS) 不涉及 yundun-idaas
DDoS防护 DDoS防护 yundun-ddos DDoS防护API概览
DDoS防护 DDoS高防 yundun-high DDoS高防API概览
游戏盾 不涉及 yundun-gameshield
云防火墙 不涉及 yundun-cloudfirewall 云防火墙API概览
终端访问控制系统 不涉及 uem
Web应用防火墙 Web应用防火墙 yundun-waf Web应用防火墙API概览
Web应用防火墙 人机验证(数据风控) yundun-afs 人机验证API概览
SSL证书 不涉及 yundun-cert SSL证书API概览
漏洞扫描 不涉及 yundun-avds 漏洞扫描API概览
爬虫风险管理 不涉及 yundun-antibot
内容安全 不涉及 yundun-greenweb 内容安全API概览
云安全中心(安骑士) 不涉及 yundun-aegis 云安全中心(安骑士)API概览
云安全中心(态势感知) 不涉及 yundun-sas 云安全中心(态势感知)API概览
加密服务 不涉及 yundun-hsm
数据库审计 不涉及 yundun-dbaudit 数据库审计API概览
云市场 不涉及 acm 云市场API概览
配额中心 不涉及 quotas 配额中心API概览
消息中心 不涉及 notifications
分销平台 不涉及 agency
工单 不涉及
  • support
  • workorder
工单API概览
费用中心BSS 不涉及
  • bss
  • bssapi
  • efc
费用中心BSS API概览
云监控 不涉及 cms 云监控API概览
操作审计 不涉及 actiontrail 操作审计API概览
风险识别 不涉及 yundun-saf 风险识别API概览
事件总线 不涉及 eventbridge 事件总线API概览
云解析PrivateZone 不涉及 pvtz 云解析PrivateZoneAPI概览
堡垒机 不涉及 pam 堡垒机API概览
崩溃分析 不涉及 emasha 崩溃分析API概览
应用引擎 不涉及 sae API概览
云数据库OceanBase 不涉及 oceanbase