备案控制台
首页

限制企业仅使用已批准的云服务

更新时间: 2023-09-04 11:53:22

手动部署

40

https://www.aliyun.com/solution/tech-solution/retouacs

方案概览

企业上云过程中,一般会根据企业自身情况,通过调研和挑选,圈定需要订购的云产品列表,并与云厂商签订批量订购协议,从而使企业利益最大化。企业内部会要求各用户从圈定的云产品列表中进行订购,避免企业利益受损。这就是常见的企业需要启用可用云产品白名单的场景。

另外,基于安全合规考虑,企业需要启用可用云产品白名单,用来规范用户的使用行为,避免有意或无意的违规。

方案架构

使用资源目录的管控策略能力,限制企业在云上只能使用批准的云产品,规范企业内部用户订购和使用云产品的行为。

限制企业仅使用已批准的云服务.png

资源目录管控策略是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(RAM)设置权限后,相应身份才具备对资源的访问权限。管控策略的优势如下:

  • 管控策略具备基于资源目录树形结构从上向下继承的特点。

    您只需要将管控策略绑定到需要管控的节点(资源夹或成员)上,它将沿着资源目录树向下(当前节点及其下所有节点)影响节点下的所有成员。当成员的RAM用户或RAM角色访问阿里云服务时,都将受到管控策略的管控,实现预期管控的结果。在需要更新可用云产品白名单时,您只需要维护这条管控策略即可。

    重要

    管控策略对所有资源目录成员中的RAM用户和RAM角色生效,但对根用户不生效。

  • 管控策略不进行授权,它只定义权限的边界,可以在不改变用户原有授权的基础上叠加影响。

  • 管控策略与RAM授权策略分开管理,共同生效。

    使用管控策略进行合规管理,使用RAM进行授权管理,使合规管理与授权管理职能分开,从而保护企业合规安全。管控策略属于顶层管控决策,高于授权策略,是企业的基本原则,所有业务规范都必须在企业基本原则之下进行制定。

本方案中,将通过管控策略约束成员仅允许对华北2(北京)和华东2(上海)地域的ECS和RDS进行操作(例如:订购和使用等),禁止对其他不符合条件的云产品进行操作。

部署准备

10

开始部署前,请按以下指引完成账号申请、RAM用户授权、资源目录开通等准备工作。

准备账号

  1. 如果您还没有阿里云账号,请访问阿里云账号注册页面,根据页面提示完成账号注册。

  2. 完成企业实名认证。

    具体操作,请参见企业实名认证

  3. 创建一个RAM用户并授予资源目录的管理员权限(AliyunResourceDirectoryFullAccess),用于管理整个资源目录。

    具体操作,请参见创建RAM用户为RAM用户授权

开通资源目录并搭建企业的多账号资源结构

  1. 资源管理控制台,开通资源目录。

    具体操作,请参见开通资源目录

  2. 资源管理控制台,搭建企业的组织结构。您可以创建新的成员,也可以邀请已有的阿里云账号加入组织。

    具体操作,请参见创建资源夹创建成员邀请阿里云账号加入资源目录

开启管控策略功能

5

  1. 登录资源管理控制台
  2. 在左侧导航栏,选择资源目录 > 管控策略
  3. 单击开启管控策略
  4. 单击确定
  5. 单击刷新,查看开启状态。

开启管控策略功能后,资源目录内的全部资源夹和成员会默认绑定系统策略FullAliyunAccess,该策略允许您对阿里云上的所有资源进行任何操作。

创建自定义管控策略

5

  1. 在左侧导航栏,选择资源目录 > 管控策略

  2. 策略列表页签,单击创建策略

  3. 创建策略页面,单击脚本编辑页签。

  4. 输入管控策略内容,然后单击继续编辑基本信息

    管控策略内容如下:

    {
  "Statement":[
    {
      "Effect": "Allow",
      "Action":[
                "ecs:*",
                "rds:*"
      ],
      "Resource": [
                "acs:*:*cn-beijing*:*:*",
                "acs:*:*cn-shanghai*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action":[
                "sts:AssumeRole"
      ],
      "Resource": "*"
    }
  ],
  "Version": "1"

}

    上述管控策略的含义如下:

    • 仅允许对华北2(北京)和华东2(上海)地域的ECS和RDS进行操作(例如:订购和使用等),禁止对其他不符合条件的云产品进行操作。

    • 允许使用RAM用户通过STS方式登录到成员进行管理操作。

  5. 输入管控策略名称备注

  6. 检查并优化管控策略内容。

    • 基础策略优化

      系统会对您添加的策略语句自动进行基础优化。基础策略优化功能会完成以下任务:

      • 删除不必要的条件。

      • 删除不必要的数组。

    • 可选:高级策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对策略内容进行高级优化。高级策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。

      • 收缩资源到更小范围。

      • 去重或合并语句。

  7. 单击确定

绑定自定义管控策略

5

  1. 在左侧导航栏,选择资源目录 > 管控策略

  2. 策略绑定页签下的左侧组织结构树中,单击目标资源夹或成员。

    管控策略在绑定节点下整体生效,即父资源夹绑定的管控策略,会在其子资源夹及其成员上生效。

  3. 在右侧页面,单击绑定策略

  4. 绑定策略对话框,选择上一步创建的自定义管控策略。

  5. 单击确定

解绑系统管控策略

5

本方案中,您使用了自定义Allow管控策略后,则需要在目标节点上解绑系统管控策略FullAliyunAccess,避免您自定义的Allow管控策略无效。

  1. 在左侧导航栏,选择资源目录 > 管控策略

  2. 策略绑定页签下的左侧组织结构树中,单击目标资源夹或成员。

  3. 在右侧的管控策略列表中,单击系统管控策略FullAliyunAccess操作列的解绑

  4. 单击确定

说明

如果提示只有一条管控策略不允许解绑时,您可以尝试再次绑定上述创建的自定义管控策略,然后解绑系统管控策略FullAliyunAccess。

完成及清理

10

方案验证

完成了上述配置后,您可以登入目标成员账号,验证管控策略是否已生效。

  1. 登入目标成员账号。

    1. 在左侧导航栏,选择资源目录 > 概览

    2. 单击资源组织成员列表页签。

    3. 在成员列表中,单击目标成员操作列的登入账号

      登入账号.jpg
      说明

      登入成员账号有多种方式,您可以按需选择。具体操作,请参见成员登录阿里云控制台

  2. 验证资源访问权限。

    如果您可以正常访问华北2(北京)和华东2(上海)地域下的ECS和RDS资源,无法访问其他资源,则说明管控策略已生效。

清理资源

在本方案中,您创建了一条自定义管控策略并绑定到了目标成员上,如果后续不再使用,您可以解绑该管控策略,并将其删除。具体操作,请参见删除自定义管控策略