通过Control Policy授权

如果希望对企业成员进行统一授权和管理,您可以开通资源目录后通过资源目录管控策略对企业成员所属资源目录进行权限配置和授权。

背景信息

为了便于进行企业账号与资源的集中管理,企业管理人员可以使用资源管理服务中的资源目录快速建立一套符合企业业务关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。更多信息,请参见资源目录概述

使用资源目录时,企业管理人员可以通过管控策略(Control Policy)统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。

资源目录管控策略是一种基于资源结构(资源夹或成员)的访问控制策略。管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(RAM)设置权限后,相应身份才具备对资源的访问权限。更多信息,请参见管控策略概述

如果要统一管理企业成员对表格存储服务的访问权限边界,企业管理人员可以通过自定义管控策略限制访问表格存储时使用的TLS版本以及限制只能创建非公网访问的表格存储实例。

前提条件

已完成资源目录的开通,组织结构的搭建以及为企业成员绑定组织结构。具体步骤如下:

  1. 企业账号收到使用资源目录的邀请记录后,使用经过企业实名认证的阿里云账号开通资源目录。具体操作,请参见开通资源目录

    重要

    个人实名认证账号不能开通资源目录。

  2. 创建资源夹,搭建企业的组织结构。具体操作,请参见创建资源夹

  3. 创建成员或者邀请已有企业成员的阿里云账号,并将这些成员移动到对应的资源夹下。具体操作,请参见创建成员邀请阿里云账号加入资源目录移动成员

操作步骤

通过资源目录的自定义管控策略限统一管理企业成员对表格存储服务的访问权限边界。

  1. 使用管理账号开启管控策略。具体操作,请参见开启管控策略功能

  2. 使用管理账号通过脚本编辑模式创建自定义管控策略。具体操作,请参见通过脚本编辑模式创建自定义管控策略

    其中管控策略的配置示例请参见自定义Control Policy

  3. 使用管理账号将管控策略绑定到资源目录节点(资源夹、成员)。具体操作,请参见绑定自定义管控策略

    配置完成后,添加到资源目录中的企业成员将具有自定义管控策略中的相应权限。