Kebijakan Titik Akhir - PrivateLink

Konfigurasikan kebijakan titik akhir untuk titik akhir antarmuka guna mengontrol aksi yang dapat dilakukan pengguna pada resource di layanan Alibaba Cloud.

Cara Kerja

Anda dapat menyambungkan kebijakan titik akhir ke titik akhir antarmuka untuk mengontrol akses ke layanan Alibaba Cloud. Kebijakan titik akhir menggunakan format JSON yang mengikuti elemen dasar dan sintaksis kebijakan Resource Access Management (RAM).

Semua layanan Alibaba Cloud yang dapat diakses melalui titik akhir antarmuka mendukung kebijakan titik akhir default, yang memberikan akses penuh melalui titik akhir antarmuka tersebut.
Hanya Object Storage Service (OSS) dan PAI - AI WorkSpace yang mendukung kebijakan titik akhir kustom.
Saat Anda membuat titik akhir untuk mengakses layanan non-Alibaba Cloud, seperti layanan mitra atau layanan buatan pengguna, Anda tidak dapat mengonfigurasi kebijakan titik akhir kustom. Secara default, titik akhir tersebut mengizinkan semua akses.

Gateway endpoints merupakan jenis titik akhir khusus. Titik akhir ini tidak bergantung pada PrivateLink, hanya mendukung akses ke sejumlah terbatas layanan Alibaba Cloud, dan mendukung kebijakan titik akhir kustom.

Jenis Kebijakan

Terdapat dua jenis kebijakan titik akhir:

Default: Mengizinkan pengguna atau layanan apa pun di VPC untuk menggunakan kredensial akunnya guna mengakses resource apa pun di layanan terkait.

{
    // Effect: Menentukan efek kebijakan.
    "Effect": "Allow",
    // Principal: Menentukan pihak yang berwenang yang diberikan izin oleh kebijakan. Ini menentukan siapa yang dapat menggunakan titik akhir. Karakter wildcard (*) merepresentasikan semua identitas.
    "Principal": "*",
    // Action: Menentukan operasi yang diizinkan atau ditolak.
    "Action": "*",
    // Resource: Menentukan resource tempat operasi dilakukan.
    "Resource": "*"
}

Kustom: Memungkinkan pengguna mengonfigurasi kebijakan kontrol akses granular untuk membatasi aksi yang dapat dilakukan pengguna pada resource.

Aturan Penggantian Kebijakan

Kebijakan titik akhir tidak menggantikan atau menimpa kebijakan berbasis identitas maupun kebijakan berbasis resource, seperti kebijakan bucket untuk OSS. Hasil gabungan dari semua kebijakan yang berlaku menentukan izin akses akhir. Untuk informasi selengkapnya, lihat Cara Evaluasi Kebijakan Akses.

Konfigurasi Kebijakan Titik Akhir

Konsol

Buka halaman Endpoints - Create Endpoint. Saat membuat titik akhir antarmuka, konfigurasikan Endpoint Policy.
Setelah titik akhir dibuat, buka halaman detailnya. Pada tab Endpoint Policy, klik Edit.

API

Saat memanggil operasi CreateVpcEndpoint, tentukan parameter PolicyDocument untuk mengonfigurasi kebijakan titik akhir.
Panggil operasi UpdateVpcEndpointAttribute untuk memodifikasi kebijakan titik akhir.

Contoh

Tolak suatu aksi

Kebijakan titik akhir ini mengizinkan semua pengguna melakukan semua operasi OSS kecuali oss:PutObject (mengunggah file).

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:*"
            ],
            "Resource": [
                "acs:oss:*:*:*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "oss:PutObject"
            ],
            "Resource": [
                "acs:oss:*:*:*"
            ]
        }
    ]
}

Tentukan resource dan aksi yang diizinkan

Kebijakan titik akhir ini hanya mengizinkan operasi list (List*), unggah (PutObject), dan unduh (GetObject) pada file policy-test.txt di bucket OSS bernama pvl-policy-test.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:GetObject",
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:pvl-policy-test/policy-test.txt"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "oss:List*"
      ],
      "Resource": [
        "acs:oss:*:*:pvl-policy-test"
      ],
      "Condition": {
        "StringLike": {
          "oss:Prefix": "policy-test.txt*"
        }
      }
    }
  ]
}

Contoh 3: Izinkan akses hanya untuk RAM user tertentu

Kebijakan titik akhir ini hanya mengizinkan RAM user pvl-policy-allow di bawah Akun Alibaba Cloud dengan ID 14199926XXXXXXXX untuk mengakses layanan melalui titik akhir tersebut. Kebijakan ini juga secara eksplisit menolak permintaan akses dari RAM user pvl-policy-deny yang termasuk dalam Akun Alibaba Cloud yang sama.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Principal": {
        "RAM": [
          "acs:ram::14199926XXXXXXXX:user/pvl-policy-allow"
        ]
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Principal": {
        "RAM": [
          "acs:ram::14199926XXXXXXXX:user/pvl-policy-deny"
        ]
      }
    }
  ]
}