AI 助理
备案控制台
文档
输入文档关键字查找
首页 专有网络VPC 操作指南 IP地址管理(IPAM) IPAM实例管理 基于资源目录管控策略强制使用IPAM地址池统一创建VPC

基于资源目录管控策略强制使用IPAM地址池统一创建VPC

更新时间:
提交缺陷
产品详情
我的收藏

企业多账号体系下,由网络团队负责整体的网络规划,使用IPAM将规划的地址池共享给业务账号。您可以使用资源目录的管控策略,限制业务账号只能从共享的IPAM地址池中分配地址来创建VPC,统一网络地址的使用方式,便于管理。

功能介绍

多账号体系下,企业使用资源目录建立符合业务关系的资源结构,并将多个账号分布到这个目录结构中的相应位置,形成资源间的多层级关系。

资源目录提供管控策略功能,企业通过管理账号集中制定管理规则,并将这些管理规则应用于资源目录的各级资源结构(资源夹、成员)上。

为实现网络的强管控,您可以使用管理账号创建管控策略,与资源夹或成员绑定,限制特定的业务账号在创建VPC时,只能从共享的IPAM地址池中分配地址。

image
重要

管控策略对所有资源目录成员中的RAM用户和RAM角色生效,但对成员的根用户不生效。同时,资源目录的管理账号位于资源目录外部,不归属于资源目录,所以管控策略对管理账号内的所有身份也不生效。

场景示例

您可以参照以下步骤创建管控策略,并将其应用于资源目录的各级资源结构(资源夹、成员)上。

  1. 创建管控策略

    1. 登录资源管理控制台。在左侧导航栏,选择资源目录 > 管控策略

    2. 策略列表页签,单击创建策略

    3. 创建策略页面,单击脚本编辑页签。

    4. 输入管控策略,单击继续编辑基本信息,配置管控策略的基本信息。

  2. 绑定管控策略

    1. 策略绑定页签下的左侧组织结构树中,单击目标资源夹或成员。

    2. 在右侧页面,单击绑定策略。选择需要绑定的管控策略,然后单击确定

    3. 确认绑定策略对话框,阅读绑定影响,单击确认与继续

      说明

      管控策略具备基于资源目录树形结构从上向下继承的特点。

      绑定成功后,选定资源夹及其以下子资源夹的所有成员将会立即受到管控策略的管控。当成员的RAM用户或RAM角色访问阿里云服务时,都将受到管控策略的管控,实现预期管控的结果。

      请务必确定绑定操作的结果是符合预期的,以免影响您的业务正常运行。

场景一:限定用户从地址池创建VPC和为VPC添加附加网段

按照创建管控策略的步骤,在脚本编辑页签输入以下内容,将本策略与目标资源夹或成员绑定。成员的RAM用户或RAM角色创建VPC/为VPC添加附加网段时,需要选择IPAM分配的IPv4地址段

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

场景二:限定用户从特定地址池创建VPC

按照创建管控策略的步骤,在脚本编辑页签输入以下内容,将本策略与目标资源夹或成员绑定。成员的RAM用户或RAM角色需要选择与"vpc:Ipv4IpamPoolId"的设定值一致的IPAM地址池,才能够成功创建VPC。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "StringNotEquals": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    },
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}
说明

您需要将ipam-pool-0123456789abcdefg示例值更改为限定用户使用的IPAM地址池ID。

场景三:限定用户使用特定地址池创建VPC和为VPC添加附加网段

按照创建管控策略的步骤,在脚本编辑页签输入以下内容,将本策略与目标资源夹或成员绑定。成员的RAM用户或RAM角色创建VPC时,需要满足以下条件:

  • 创建VPC时,选择与"vpc:Ipv4IpamPoolId"的设定值一致的IPAM地址池;

  • 添加附加网段时,选择IPAM 分配的 IPv4 地址段,并使用与"vpc:Ipv4IpamPoolId"的设定值一致的IPAM地址池。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    }
  ],
  "Version": "1"
}
说明

您需要将ipam-pool-0123456789abcdefg示例值更改为限定用户使用的IPAM地址池ID。

相关文档

上一篇:共享IPAM地址池实现多账号下地址统一规划管理下一篇:多账号管理
文档推荐