All Products
Search

This Product

    Object Storage Service:Kebijakan Kontrol

    Document Center

    Object Storage Service:Kebijakan Kontrol

    Last Updated:Mar 25, 2026

    Dalam lingkungan perusahaan multi-akun, fitur Control Policy dari Resource Directory memungkinkan Anda mengonfigurasi izin terpadu untuk akun anggota, sehingga memungkinkan pengelolaan kontrol akses dan kebijakan keamanan secara terpusat.

    Cara kerja

    Control Policy menetapkan batasan izin berdasarkan hierarki sumber daya Anda (folder atau anggota). Misalnya, gunakan kebijakan kontrol kustom untuk menerapkan kebijakan keamanan di seluruh akun anggota, seperti mewajibkan fitur block public access untuk semua bucket penyimpanan objek.

    Logika evaluasi

    Saat Pengguna RAM atau Peran RAM dalam akun anggota mengakses layanan cloud seperti Object Storage Service (OSS), sistem pertama-tama mengevaluasi permintaan tersebut terhadap Control Policy. Jika sesuai, sistem kemudian mengevaluasi kebijakan RAM akun tersebut untuk menentukan otorisasi.

    Prinsip evaluasi

    Prinsip explicit deny takes precedence berlaku di setiap tingkat evaluasi:

    1. Explicit deny takes precedence: Jika aturan Deny cocok dengan permintaan, permintaan tersebut langsung ditolak. Seluruh proses evaluasi Control Policy berakhir, dan sistem tidak melanjutkan evaluasi kebijakan RAM dalam akun.

    2. Explicit allow: Jika tidak ditemukan aturan Deny yang cocok pada suatu tingkat, sistem mencari aturan Allow yang cocok. Jika ditemukan aturan Allow, evaluasi lolos pada tingkat tersebut dan dilanjutkan ke node induk. Proses ini diulang hingga folder root. Jika permintaan lolos di semua tingkat hingga dan termasuk root, evaluasi Control Policy secara keseluruhan berhasil, dan sistem melanjutkan evaluasi kebijakan RAM dalam akun.

    3. Implicit deny: Jika tidak ditemukan aturan Deny maupun Allow yang cocok, permintaan tersebut secara implisit ditolak. Evaluasi tidak dilanjutkan ke tingkat berikutnya, dan seluruh proses evaluasi Control Policy berakhir. Sistem tidak melanjutkan evaluasi kebijakan RAM dalam akun.

    Alibaba Cloud mengevaluasi Control Policy yang disambungkan ke akun target dan ke setiap tingkat hierarki di atasnya. Hal ini memastikan bahwa kebijakan yang disambungkan pada tingkat yang lebih tinggi diberlakukan pada semua akun di bawahnya. Untuk informasi lebih lanjut, lihat Ikhtisar Control Policy.

    Jenis kebijakan

    • System control policy: Control Policy bawaan yang dapat Anda lihat tetapi tidak dapat diubah. Setelah Anda mengaktifkan fitur Control Policy, kebijakan FullAliyunAccess disambungkan secara default untuk mengizinkan semua operasi.

    • Custom control policy: Control Policy yang ditentukan pengguna yang dapat Anda buat, ubah, hapus, dan sambungkan ke folder atau anggota.

    Lingkup

    Control Policy berlaku untuk semua Pengguna RAM dan Peran RAM dalam akun anggota Resource Directory. Kebijakan ini tidak berlaku untuk service-linked roles, pengguna root akun anggota, atau identitas apa pun dalam akun manajemen.

    Prosedur

    Penting

    Sebelum memulai, gunakan akun manajemen Anda untuk menyiapkan Resource Directory Anda. Ini mencakup mengaktifkan layanan, membuat folder dan anggota, mengundang akun, serta mengatur anggota. Untuk informasi lebih lanjut, lihat Aktifkan Resource Directory, Buat folder, Buat anggota, Undang Akun Alibaba Cloud untuk bergabung ke Resource Directory Anda, dan Pindahkan anggota. Pastikan juga Anda meninjau Batasan Resource Directory.

    Langkah 1: Aktifkan kebijakan kontrol

    Anda hanya perlu melakukan langkah ini sekali. Jika fitur ini sudah diaktifkan, lewati langkah ini.

    1. Buka halaman Enable Control Policy di Konsol Resource Directory.

    2. Klik Enable Control Policy dan konfirmasi pilihan Anda.

    3. Klik Refresh untuk memeriksa status.

    Langkah 2: Buat kebijakan kontrol kustom

    1. Buka halaman Create Control Policy di Konsol Resource Directory.

    2. Pilih metode konfigurasi.

      Contoh ini menunjukkan cara menerapkan pengaturan block public access. Untuk contoh lainnya, lihat Skenario otorisasi umum.

      Penting

      Sebelum menerapkan kebijakan deny, pastikan sumber daya yang ada di akun anggota sudah memenuhi kebijakan tersebut. Misalnya, jika Anda ingin menerapkan block public access untuk OSS, pastikan semua bucket yang ada telah mengaktifkan fitur block public access.

      Visual editor

      Pada tab Visual Editor, konfigurasikan pengaturan berikut:

      • Effects: Pilih Deny

      • Service: Pilih Object Storage

      • Actions: Pilih oss:DeleteBucketPublicAccessBlock dan oss:PutBucketPublicAccessBlock

      Script editor

      Pada tab Script Editor, masukkan konfigurasi kebijakan berikut:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:DeleteBucketPublicAccessBlock",
        "oss:PutBucketPublicAccessBlock"
      ],
      "Resource": "*"
    }
  ]
}
      Catatan

      Control Policy menggunakan format JSON dan mencakup dua elemen inti: Version dan Statement. Statement terdiri dari elemen Effect, Action, Resource, dan Condition. Untuk detail tentang cara mengonfigurasi elemen Action, lihat Action.

    3. Klik OK.

    4. Pada kotak dialog Description, masukkan Description dan Description, lalu klik OK.

    Langkah 3: Sambungkan kebijakan kontrol

    1. Buka halaman Directory Management di Konsol Resource Directory.

    2. Pada pohon hierarki sumber daya, klik folder target.

    3. Pada tab Policies, klik Attach Policy.

    4. Pada panel Attach Policy, pilih Control Policy yang akan disambungkan, lalu klik OK.

    Langkah 4: Verifikasi kebijakan

    Setelah disambungkan, kebijakan berlaku untuk semua akun anggota dalam folder tersebut. Untuk skenario penerapan block public access, Anda dapat memverifikasi efek kebijakan dengan cara berikut:

    1. Verifikasi tindakan yang ditolak: Di akun anggota, coba nonaktifkan fitur block public access untuk bucket yang ada. Operasi tersebut harus ditolak oleh Control Policy.

    2. Verifikasi pembatasan pembuatan: Coba buat bucket baru tanpa mengaktifkan block public access. Permintaan pembuatan tersebut harus ditolak.

    3. Verifikasi penerapan hierarkis: Lakukan tindakan yang sama di akun anggota pada tingkat berbeda dalam folder untuk memastikan kebijakan diterapkan di seluruh hierarki.

    Skenario otorisasi umum

    Skenario 1: Terapkan block public access

    Anda dapat menerapkan block public access untuk bucket OSS dengan menggunakan Control Policy yang menolak tindakan yang menonaktifkan fitur ini atau membuat bucket tanpa fitur tersebut. Berikut adalah contoh konfigurasinya:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:DeleteBucketPublicAccessBlock",
        "oss:PutBucketPublicAccessBlock"
      ],
      "Resource": "*"
    }
  ]
}

    Penerapan kebijakan di lingkungan produksi

    • Desain kebijakan berlapis: Rancang struktur Control Policy berlapis yang mencerminkan hierarki organisasi Anda. Misalnya, sambungkan guardrail wajib yang bersifat umum ke folder root, dan terapkan batasan yang lebih spesifik ke folder departemen.

    • Kontrol versi kebijakan: Gunakan sistem kontrol versi untuk Control Policy kritis. Menyimpan riwayat perubahan yang jelas mempermudah troubleshooting dan memungkinkan rollback cepat jika diperlukan.

    • Kontrol lingkup: Hindari kebijakan deny yang terlalu luas karena dapat secara tidak sengaja memblokir operasi bisnis yang sah serta mengganggu fungsionalitas sistem atau pengalaman pengguna.

    • Pengujian dan validasi kebijakan: Uji kebijakan baru di lingkungan pengujian khusus atau pada folder non-kritis terlebih dahulu. Setelah memverifikasi perilaku yang diharapkan, terapkan kebijakan tersebut ke lingkungan produksi untuk menghindari gangguan pada beban kerja kritis.

    Referensi