策略集管理

权限要求

执行以下操作前，建议为您使用的 RAM 用户或角色分配 AliyunAgentIdentityFullAccess （管理策略集）以及AliyunAPIGFullAccess（绑定、解绑、查询AI网关）系统策略。

创建策略集

创建一个新的策略集，以便后续向其中添加具体策略。

1. 登录 AgentIdentity 控制台。

2. 在左侧导航栏，选择权限 > 策略集。

3. 单击创建策略集。

4. 在创建策略集页面，输入策略集名称和描述（可选），然后单击创建策略集按钮。

   说明

   • 策略集名称创建后不可修改。

   • 可创建的策略集数量存在限制，具体请参见使用限制。

向策略集中添加策略

创建策略集后，需要向其中添加具体的策略规则来定义访问控制逻辑。

1. 在策略集列表中，找到目标策略集，单击其名称。

2. 在策略集详情页，单击策略内容页签下的编辑策略内容。

3. 如当前策略集下没有策略，编辑器将自动新增一个策略并预填充策略名称。否则，单击新增策略按钮来添加。在策略编辑页面完成以下配置：

   • 策略名称：默认填充格式为Policy_{xxxxx}。

   • 描述（可选）：策略描述。

   • 策略语句：

     配置项	选项	说明
     效果	允许 / 拒绝	策略的授权效果，决定是允许还是拒绝匹配的请求。 一个策略集中至少需要有一条效果为允许的策略，否则该策略将拒绝所有请求。
     主体	全部主体 指定主体 工作负载身份 OAuth用户 自定义用户	策略适用的主体对象，由主体类型和主体ID组成。 指定主体类型时，如省略主体ID，将应用于该类型的全部主体对象；如指定主体ID，则主体范围将限定于匹配主体ID的对象。 一条策略中仅能指定一种主体类型，或该主体类型下的单个主体对象（指定主体ID时）。
     资源	指定网关资源	策略控制的目标AI网关资源。 指定并绑定网关后，所有经过该网关的请求均会被拦截进行授权评估。
     操作	全部操作 指定操作	策略允许或拒绝的具体MCP服务工具，由网关、服务、工具三个层级构成，以.分隔。如mcp-servers.order-service.create-order。支持： 同时指定多个操作，如： mcp-servers.order-service.create-order mcp-servers.order-service.get-order 仅指定网关或服务层级，代表允许或拒绝当前层级下的所有工具，如： 允许网关下的所有MCP服务工具：mcp-servers 允许指定MCP服务下的所有工具：mcp-servers.order-service
     条件	指定条件（可选）	策略生效的附加条件，以键值对的方式进行设置。 单条策略支持配置多个条件，各条件之间为逻辑“与”（AND）关系。

     

4. 单击提交，完成策略创建。

为策略集绑定AI网关

只有将策略集与 AI 网关绑定后，策略集中的策略才会应用于该网关的实际业务流量。

1. 在策略集列表中，找到目标策略集，单击其名称。

2. 在策略集详情页，切换到关联网关页签。单击绑定网关按钮。

   

3. 在绑定网关面板中，完成以下配置：

   • 选择网关：从网关列表中选择需要应用此策略集的 AI 网关。该网关需要与您在策略资源配置项中指定的网关一致。

   • 执行模式：选择策略集在网关上的工作方式。

     • 观察模式：仅记录策略评估结果，不会拦截任何请求。此模式主要用于测试和验证策略评估结果是否符合预期。建议在应用策略集至生产环境时先设置为观察模式，确保策略变更不会影响正常业务。

     • 拦截模式：严格执行策略评估结果。被拒绝的请求将被网关拦截，调用方收到错误响应（状态码403）。

     

4. 单击绑定网关。绑定任务将自动创建并绑定网关服务、网关服务策略、网关插件等关联依赖，完成策略集与网关的绑定。

   

取消与AI网关的绑定

删除策略集或为网关更换其他策略集前，需先取消绑定。

1. 在策略集列表中，找到已绑定网关的目标策略集，单击其名称。

2. 在策略集详情页，切换到关联网关页签。

3. 在关联的网关列表中，找到希望解绑的网关。单击操作列的解绑网关。

   

4. 在确认对话框中，输入网关ARN，然后单击解绑网关按钮。解绑任务将自动解绑并删除网关插件、网关服务策略、网关服务等关联依赖，完成策略集与网关的解绑。

   

删除策略集

当一个策略集不再需要时，可以将其删除以简化管理。

1. 在策略集列表中，找到目标策略集。

2. 单击操作列的删除策略集。

3. 在弹出的确认对话框中，输入策略集名称，然后单击删除策略集按钮。