Topik ini menyajikan contoh-contoh kebijakan kontrol akses kustom.
Kebijakan yang digunakan untuk melarang modifikasi dan penghapusan pengguna RAM, grup pengguna RAM, dan peran RAM
Dokumen:
{
"Statement": [
{
"Action": [
"ram:Attach*",
"ram:Detach*",
"ram:BindMFADevice",
"ram:CreateAccessKey",
"ram:CreateLoginProfile",
"ram:CreatePolicyVersion",
"ram:DeleteAccessKey",
"ram:DeleteGroup",
"ram:DeleteLoginProfile",
"ram:DeletePolicy",
"ram:DeletePolicyVersion",
"ram:DeleteRole",
"ram:DeleteUser",
"ram:DisableVirtualMFA",
"ram:AddUserToGroup",
"ram:RemoveUserFromGroup",
"ram:SetDefaultPolicyVersion",
"ram:UnbindMFADevice",
"ram:UpdateAccessKey",
"ram:UpdateGroup",
"ram:UpdateLoginProfile",
"ram:UpdateRole",
"ram:UpdateUser"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN":"acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Kebijakan ini melarang modifikasi dan penghapusan pengguna RAM, grup pengguna RAM, serta peran RAM beserta izin mereka.
Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang modifikasi peran ResourceDirectoryAccountAccessRole dan izinnya
Dokumen:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:UpdateRole",
"ram:DeleteRole",
"ram:AttachPolicyToRole",
"ram:DetachPolicyFromRole"
],
"Resource": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
]
}Kebijakan yang digunakan untuk melarang modifikasi dan penghapusan pengguna RAM tertentu
Dokumen:
{
"Version": "1",
"Statement": [{
"Action": [
"ram:AttachPolicyToUser",
"ram:DetachPolicyFromUser",
"ram:AddUserToGroup",
"ram:RemoveUserFromGroup",
"ram:UpdateUser",
"ram:DeleteUser",
"ram:CreateLoginProfile",
"ram:UpdateLoginProfile",
"ram:DeleteLoginProfile",
"ram:CreateAccessKey",
"ram:DeleteAccessKey",
"ram:UpdateAccessKey",
"ram:BindMFADevice",
"ram:UnbindMFADevice",
"ram:DisableVirtualMFA"
],
"Resource": [
"acs:ram:*:*:user/Alice"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}]
}Kebijakan ini melarang modifikasi dan penghapusan pengguna RAM tertentu, Alice, serta izinnya. Anda dapat menentukan akun Alibaba Cloud tempat Alice berada, seperti acs:ram:*:18299873****:user/Alice.
Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang pengaktifan login ke Konsol Manajemen Alibaba Cloud untuk pengguna RAM yang sudah ada
Dokumen:
{
"Statement": [
{
"Action": [
"ram:CreateLoginProfile",
"ram:UpdateLoginProfile"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Kebijakan ini melarang pengaktifan login ke Konsol Manajemen Alibaba Cloud untuk pengguna RAM yang sudah ada. Namun, login tetap dapat diaktifkan untuk pengguna RAM baru.
Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang penggunaan pengguna RAM atau peran RAM untuk menghapus beberapa sumber daya jika MFA belum selesai untuk pengguna RAM atau peran RAM tersebut
Dokumen:
{
"Statement": [
{
"Action": "ecs:DeleteInstance",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Bool": {
"acs:MFAPresent": "false"
}
}
}
],
"Version": "1"
}Kebijakan ini melarang penggunaan pengguna RAM atau peran RAM untuk menghapus instance Elastic Compute Service (ECS) jika otentikasi multi-faktor (MFA) belum selesai. Untuk menghapus sumber daya lain, ubah nilai Action sesuai dengan tindakan untuk sumber daya tersebut.
Kebijakan yang digunakan untuk melarang modifikasi pengaturan SSO berbasis pengguna
Dokumen:
{
"Statement": [
{
"Action": [
"ram:SetSamlSsoSettings"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang modifikasi pengaturan SSO berbasis peran
Dokumen:
{
"Statement": [
{
"Action": [
"ram:CreateSAMLProvider",
"ram:DeleteSAMLProvider",
"ram:UpdateSAMLProvider"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang penonaktifan fitur Delivery dari ActionTrail dan melarang perubahan tujuan ke mana ActionTrail mengirimkan acara
Dokumen:
{
"Statement": [
{
"Action": [
"actiontrail:UpdateTrail",
"actiontrail:DeleteTrail",
"actiontrail:StopLogging"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang akses ke beberapa layanan jaringan
Dokumen:
{
"Statement": [
{
"Action": [
"vpc:*HaVip*",
"vpc:*RouteTable*",
"vpc:*VRouter*",
"vpc:*RouteEntry*",
"vpc:*VSwitch*",
"vpc:*Vpc*",
"vpc:*Cen*",
"vpc:*NetworkAcl*"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
},
{
"Action": [
"vpc:*VpnGateway*",
"vpc:*VpnConnection*",
"vpc:*CustomerGateway*",
"vpc:*SslVpnServer*",
"vpc:*SslVpnClientCert*",
"vpc:*VpnRoute*",
"vpc:*VpnPbrRoute*"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Kebijakan ini melarang akses ke Virtual Private Cloud (VPC) dan VPN Gateway. Untuk melarang akses ke layanan jaringan lain, ubah nilai Action sesuai dengan tindakan untuk layanan tersebut.
Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang pembuatan sumber daya jaringan (EIP dan gateway NAT) yang dapat digunakan untuk mengakses Internet
Dokumen:
{
"Version": "1",
"Statement": [
{
"Action": [
"vpc:AllocateEipAddress",
"vpc:AllocateEipAddressPro",
"vpc:AllocateEipSegmentAddress",
"vpc:CreateNatGateway"
],
"Resource": [
"*"
],
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
]
}Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang akses ke layanan jaringan yang terhubung ke sumber daya lokal
Dokumen:
{
"Statement": [
{
"Action": [
"vpc:*PhysicalConnection*",
"vpc:*VirtualBorderRouter*",
"cen:*",
"vpc:*VpnGateway*",
"vpc:*VpnConnection*",
"vpc:*CustomerGateway*",
"vpc:*SslVpnServer*",
"vpc:*SslVpnClientCert*",
"vpc:*VpnRoute*",
"vpc:*VpnPbrRoute*",
"smartag:*"
],
"Resource": "*",
"Effect": "Deny"
}
],
"Version": "1"
}Kebijakan ini melarang akses ke layanan jaringan yang terhubung ke sumber daya lokal, termasuk Express Connect, Cloud Enterprise Network, VPN Gateway, dan Smart Access Gateway.
Kebijakan yang digunakan untuk melarang penggunaan beberapa fitur yang disediakan oleh layanan Biaya dan Pengeluaran
Dokumen:
{
"Statement": [
{
"Action": [
"bss:DescribeOrderList",
"bss:DescribeOrderDetail",
"bss:PayOrder",
"bss:CancelOrder"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
],
"Version": "1"
}Kebijakan ini melarang penggunaan fitur Pesanan yang disediakan oleh layanan Biaya dan Pengeluaran. Untuk melarang penggunaan fitur lain, ubah nilai Action sesuai dengan tindakan untuk fitur tersebut.
Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang modifikasi pengaturan terkait CloudMonitor
Dokumen:
{
"Version": "1",
"Statement": [
{
"Action": [
"cms:Put*",
"cms:Update*",
"cms:Create*",
"cms:Modify*",
"cms:Disable*",
"cms:Enable*",
"cms:Delete*",
"cms:Send*",
"cms:Subscribe*",
"cms:Unsubscribe*",
"cms:Remove*",
"cms:CreateAction",
"cms:Pause*",
"cms:Stop*",
"cms:Start*",
"cms:BatchCreate*",
"cms:ProfileSet",
"cms:ApplyMonitoringTemplate"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"acs:PrincipalARN": "acs:ram:*:*:role/resourcedirectoryaccountaccessrole"
}
}
}
]
}Dalam kebijakan ini, hanya ResourceDirectoryAccountAccessRole (peran default untuk mengakses anggota dalam direktori sumber daya) yang dapat melakukan operasi tersebut. Anda dapat menghapus kondisi ini agar semua pengguna RAM dan peran RAM tidak dapat melakukan operasi ini. Alternatifnya, Anda dapat menentukan pengguna atau peran tertentu dengan mengubah nilai PrincipalARN.
Kebijakan yang digunakan untuk melarang pembelian instance cadangan
Dokumen:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:PurchaseReservedInstancesOffering"
],
"Resource": "*",
"Effect": "Deny"
}
]
}Kebijakan yang digunakan untuk melarang pembuatan instance ECS di VPC yang tidak ditentukan
Dokumen:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateInstance",
"ecs:RunInstances"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringNotLike": {
"vpc:VPC": "acs:vpc:cn-shenzhen:*:vpc/vpc-wz95ya85js0avrkabc****"
}
}
}
]
}Dalam kebijakan ini, acs:vpc:cn-shenzhen:*:vpc/vpc-wz95ya85js0avrkabc**** digunakan sebagai VPC yang ditentukan. Anda dapat menggantinya sesuai dengan kebutuhan bisnis Anda.
Kebijakan yang digunakan untuk melarang pembelian nama domain
Dokumen:
{
"Version": "1",
"Statement": [
{
"Action": [
"domain:CreateOrderActivate"
],
"Resource": "*",
"Effect": "Deny"
}
]
}Kebijakan yang digunakan untuk melarang akses ke sistem tiket
Dokumen:
{
"Version": "1",
"Statement": [
{
"Action": [
"support:*",
"workorder:*"
],
"Resource": "*",
"Effect": "Deny"
}
]
}Kebijakan yang digunakan untuk melarang akses ke ECS di wilayah tertentu
Dokumen:
{
"Version": "1",
"Statement": [{
"Effect": "Deny",
"Action": [
"ecs:*"
],
"Resource": "acs:ecs:us-east-1:*:*"
}]
}Kebijakan ini melarang akses ke ECS di wilayah AS (Virginia).
Kebijakan yang digunakan untuk melarang berbagi sumber daya di luar direktori sumber daya
Dokumen:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:CreateResourceShare",
"resourcesharing:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"resourcesharing:RequestedAllowExternalTargets": "true"
}
}
}
]
}Kebijakan ini melarang pembuatan berbagi sumber daya yang memungkinkan sumber daya dibagikan ke akun di luar direktori sumber daya saat ini.
Kebijakan yang digunakan untuk melarang berbagi sumber daya dengan akun yang tidak diharapkan
Dokumen:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:AssociateResourceShare",
"resourcesharing:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotLike": {
"resourcesharing:Target": [
"rd-3G****/r-Wm****/*",
"rd-3G****/r-Wm****",
"192796193830****"
]
}
}
}
]
}Kebijakan ini memungkinkan berbagi sumber daya hanya dengan akun 192796193830**** dan semua anggota dalam folder rd-3G****/r-Wm****. Anda dapat mengubah nilai parameter resourcesharing:Target sesuai dengan kebutuhan bisnis Anda.
Kebijakan yang digunakan untuk melarang penerimaan undangan berbagi sumber daya dari akun di luar direktori sumber daya
Dokumen:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "resourcesharing:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}Kebijakan ini melarang penerimaan undangan berbagi sumber daya dari akun di luar direktori sumber daya saat ini. Jika prinsipal dan pemilik sumber daya termasuk dalam direktori sumber daya yang sama, tidak ada undangan berbagi sumber daya yang dimulai. Oleh karena itu, kebijakan ini tidak memengaruhi berbagi sumber daya dalam direktori sumber daya yang sama.
Kebijakan yang digunakan untuk mengizinkan berbagi sumber daya hanya dari jenis tertentu
Dokumen:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:CreateResourceShare",
"resourcesharing:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"resourcesharing:RequestedResourceType": ["VSwitch","Image","Snapshot"]
}
}
}
]
}Kebijakan ini mengizinkan berbagi hanya vSwitches, images, dan snapshots. Untuk informasi tentang kode jenis sumber daya, lihat kolom Tipe Sumber Daya di Layanan yang Bekerja dengan Berbagi Sumber Daya.
Kebijakan yang digunakan untuk mengizinkan berbagi hanya sumber daya tertentu
Dokumen:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resourcesharing:CreateResourceShare",
"resourcesharing:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"resourcesharing:ResourceArn": [
"acs:vpc:cn-shanghai:131993166204****:vswitch/vsw-7xv4sfwo86u2etl64****",
"acs:ecs:cn-shanghai:131993166204****:snapshot/s-7xviog7aq4tenbqj****"
]
}
}
}
]
}Kebijakan ini mengizinkan berbagi hanya vSwitch vsw-7xv4sfwo86u2etl64**** dan snapshot s-7xviog7aq4tenbqj**** dalam akun Alibaba Cloud 131993166204****. Untuk informasi tentang Nama Sumber Daya Alibaba Cloud (ARN) dari sumber daya, lihat kolom ARN Sumber Daya di Layanan yang Bekerja dengan Berbagi Sumber Daya.
Kebijakan yang digunakan untuk mengizinkan pembuatan VPC hanya berdasarkan kolam IPAM
Dokumen:
{
"Statement": [
{
"Action": [
"vpc:CreateVpc",
"vpc:AssociateVpcCidrBlock"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"Null": {
"vpc:Ipv4IpamPoolId": "true"
}
}
}
],
"Version": "1"
}Kebijakan ini mengizinkan pembuatan VPC hanya berdasarkan kolam Pengelola Alamat IP (IPAM).
Kebijakan yang digunakan untuk mengizinkan pembuatan VPC hanya berdasarkan kolam IPAM tertentu
Dokumen:
{
"Statement": [
{
"Action": [
"vpc:CreateVpc",
"vpc:AssociateVpcCidrBlock"
],
"Resource": "*",
"Effect": "Deny",
"Condition": {
"ForAllValues:StringNotLikeIfExists": {
"vpc:Ipv4IpamPoolId": "ipam-pool-bp1dt0ttxkrzpq5nr****"
}
}
}
],
"Version": "1"
} Kebijakan ini mengizinkan pembuatan VPC hanya berdasarkan kolam IPAM ipam-pool-bp1dt0ttxkrzpq5nr****.