终端节点策略

私网连接(PrivateLink)支持设置终端节点策略,您可以将其绑定到VPC终端节点来控制哪些阿里云主体能使用终端节点访问阿里云服务,从而增强网络安全性,保护敏感数据,满足特定的安全需求。

终端节点策略类型

终端节点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口终端节点连接到对象存储 OSS(Object Storage Service),则还可以使用OSS存储桶策略来控制从特定终端节点或特定VPC对存储桶的访问。目前终端节点策略支持两种类型:

  • 默认策略

    默认终端节点允许完全访问,策略内容如下所示:

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": "*",
                "Action": "*",
                "Resource": "*"
            }
        ]
    }
  • 自定义策略

    支持您根据实际需要自定义策略内容。更多信息,请参见权限策略基本元素

注意事项

  • 终端节点策略是一种使用RAM policy语言的JSON策略文档。终端节点策略需满足权限策略语法和结构,详情请参见权限策略语法和结构

  • 阿里云服务(即阿里云一方云服务)创建接口终端节点时,您可以为单个终端节点设置策略,也可以随时更新终端节点策略。如果您没有设置终端节点策略,系统将添加默认终端节点策略,默认该终端节点允许被完全访问。

  • 并非所有阿里云服务都支持终端节点策略。如果阿里云服务不支持终端节点策略,则表示服务允许被完全访问。目前支持配置终端节点策略的阿里云服务有操作审计(ActionTrail)

  • 当您为其他终端节点服务而非阿里云服务创建终端节点时,该终端节点允许被完全访问。关于其他终端节点服务和阿里云服务的区别,请参见什么是阿里云服务和其他终端节点服务

相关操作

设置终端节点策略

查看终端节点策略

修改终端节点策略