结合SASE实现阿里云控制台访问防护

适用场景

配置访问策略实现仅允许通过办公终端登录阿里云控制台。

办公安全平台介绍

SASE是阿里云首个一站式办公安全管控平台，企业无需再投资复杂且昂贵的安全硬件设备，即可快速构建零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的办公安全体系。通过配置控制台访问策略，设置允许访问的IP地址，结合SASE固定出口IP，即可实现通过SASE对阿里云控制台访问进行管控与防护。

步骤一：配置访问策略

1. 开通SASE实例

   SASE支持免费试用7天，参见SASE开通。更多计费说明，请参见办公安全平台计费概述。

2. 配置身份源

   在SASE控制台配置企业对接的身份源信息，支持钉钉、微信、飞书、LDAP、IDaaS 等身份源登录。具体操作，请参见身份接入。

3. 配置零信任策略

   针对指定用户组配置零信任访问策略，帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程，就是将企业用户组和办公应用进行资源权限划分。具体操作，请参见配置零信任策略。

4. 下载登录SASE App

   在需要管控的终端设备上，使用对接的身份源登录SASE App。具体操作，请参见安装并登录SASE App。

5. 配置访问策略

   配置控制台访问策略，允许SASE出口IP访问。

   1. 使用阿里云主账号，在页面右上角账号栏中单击访问控制，配置RAM权限。

      

   2. 在左侧导航栏选择权限管理 > 权限策略。

   3. 在权限策略页面中，单击创建权限策略。

   4. 在创建权限策略页面中，选择可视化编辑页签。

      1. 配置服务：设置服务为控制台。

      2. 添加条件：设置允许访问的IP地址为SASE对应的出口IP。

      具体操作，请参见创建自定义权限策略。

      

步骤二：为RAM用户授权

给对应RAM用户添加已创建的自定义权限策略，即可实现限制用户只能通过已登录SASE的办公终端设备才能访问阿里云控制台，从而增强访问安全性。具体操作，请参见通过RAM限制用户的访问IP地址。