全部产品
Search

搜索本产品

    Tablestore:Menggunakan kebijakan kontrol akses kustom

    文档中心

    Tablestore:Menggunakan kebijakan kontrol akses kustom

    更新时间:Jul 02, 2025

    Kebijakan kontrol akses kustom dapat digunakan untuk menentukan batasan izin terhadap akses sumber daya. Tablestore mendukung kebijakan kontrol akses kustom. Sebagai contoh, Anda dapat membatasi versi TLS yang digunakan untuk mengakses Tablestore dan membatasi pembuatan instance yang tidak mendukung akses publik. Konfigurasikan kebijakan sesuai dengan kebutuhan bisnis Anda.

    Informasi latar belakang

    Kebijakan kontrol direktori sumber daya adalah kebijakan kontrol akses berdasarkan struktur sumber daya seperti folder dan anggota. Kebijakan ini dapat digunakan untuk mengelola batasan izin folder atau anggota dalam direktori sumber daya secara terpusat. Untuk informasi lebih lanjut, lihat Ikhtisar.

    Sintaksis kebijakan kontrol akses

    Kebijakan kontrol akses terdiri dari empat elemen dasar: Effect, Action, Resource, dan Condition. Untuk informasi lebih lanjut, lihat Bahasa Kebijakan Kontrol Akses.

    Elemen

    Elemen

    Deskripsi

    Effect

    Menentukan apakah hasil pernyataan adalah izin eksplisit atau penolakan eksplisit. Nilai yang valid: Allow dan Deny.

    Action

    Menentukan satu atau lebih operasi API yang diizinkan atau ditolak. Untuk informasi lebih lanjut, lihat bagian Action dari topik "Konfigurasi kebijakan kustom".

    Resource

    Menentukan satu atau lebih objek yang menjadi target kebijakan. Untuk informasi lebih lanjut, lihat bagian Resource dari topik "Konfigurasi kebijakan kustom".

    Condition

    Menentukan kondisi yang diperlukan agar kebijakan berlaku. Untuk informasi lebih lanjut, lihat bagian Contoh dari topik ini.

    Contoh

    Tablestore mendukung kebijakan kontrol akses kustom. Sebagai contoh, Anda dapat membatasi versi TLS yang digunakan untuk mengakses Tablestore dan membatasi pembuatan instance yang tidak mendukung akses publik. Konfigurasikan kebijakan sesuai dengan kebutuhan bisnis Anda.

    Membatasi versi TLS yang dapat digunakan oleh pengguna untuk mengakses Tablestore

    Anda dapat menggunakan kebijakan kontrol akses kustom untuk membatasi akses ke Tablestore hanya melalui versi TLS tertentu. Ini meningkatkan keamanan akses Tablestore.

    Contoh kebijakan berikut mengizinkan akses ke Tablestore hanya melalui TLS 1.2 dan TLS 1.3. Jika klien mencoba mengakses Tablestore menggunakan versi TLS sebelum TLS 1.2 atau setelah TLS 1.3, permintaan akan gagal.

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

    Membatasi pengguna untuk hanya membuat instance yang tidak mendukung akses publik

    Anda dapat menggunakan kebijakan kontrol akses kustom untuk membatasi pengguna agar hanya dapat membuat instance yang tidak mendukung akses publik.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

    Skenario tipikal

    Sebelum mengakses direktori sumber daya, pastikan prasyarat berikut telah dipenuhi:

    • Undangan untuk menggunakan Resource Directory telah diterima.

    • Akun Alibaba Cloud yang digunakan untuk mengaktifkan direktori sumber daya telah melewati verifikasi nama asli perusahaan. Akun yang hanya melewati verifikasi nama asli individu tidak dapat digunakan untuk mengaktifkan direktori sumber daya. Untuk informasi lebih lanjut, lihat Aktifkan Direktori Sumber Daya.

    • Folder dibuat berdasarkan struktur organisasi perusahaan Anda. Untuk informasi lebih lanjut, lihat Buat Folder.

    • Anggota dibuat atau akun Alibaba Cloud yang ada diundang ke direktori sumber daya Anda. Anggota tersebut dipindahkan ke folder yang sesuai. Untuk informasi lebih lanjut, lihat Buat Anggota, Undang Akun Alibaba Cloud untuk Bergabung dengan Direktori Sumber Daya, dan Pindahkan Anggota.

    Skenario 1: Membatasi versi TLS yang dapat digunakan oleh pengguna untuk mengakses Tablestore

    1. Gunakan akun manajemen untuk mengaktifkan fitur kebijakan kontrol.

      1. Masuk ke Konsol Manajemen Resource.

      2. Di panel navigasi kiri, pilih Resource Directory > Control Policy.

      3. Di halaman yang muncul, klik Enable Control Policy.

      4. Pada pesan yang muncul, klik OK.

      5. Klik ikon Refresh dan lihat status fitur kebijakan kontrol.

    2. Gunakan akun manajemen untuk membuat kebijakan kontrol akses kustom di tab JSON.

      1. Di panel navigasi kiri, pilih Resource Directory > Control Policy.

      2. Di tab Policies pada halaman yang muncul, klik Create Policy.

      3. Di halaman Create Policy, klik tab JSON.

      4. Masukkan kebijakan kontrol akses berikut dan klik Next to edit policy information.

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

      5. Konfigurasikan parameter Name dan Note.

      6. Periksa dan optimalkan isi kebijakan kontrol akses berdasarkan situasi aktual.

    3. Gunakan akun manajemen direktori sumber daya Anda untuk melampirkan kebijakan kontrol akses kustom yang telah dibuat ke folder atau anggota dalam direktori sumber daya.

      Setelah konfigurasi selesai, anggota yang ditentukan dapat mengakses Tablestore hanya melalui TLS 1.2 dan TLS 1.3.

      1. Di panel navigasi kiri, pilih Resource Directory > Control Policy.

      2. Di halaman Kebijakan Kontrol, klik tab Attachments. Di pohon navigasi tab Lampiran, temukan folder atau anggota yang ingin Anda lampirkan kebijakan kontrol akses. Lalu, klik nama folder atau anggota tersebut.

      3. Di bagian yang muncul, klik Attach Policy.

      4. Dalam kotak dialog Attach Policy, pilih kebijakan kontrol akses yang ingin dilampirkan ke folder atau anggota.

      5. Di pesan yang muncul, klik OK.

    Skenario 2: Membatasi pengguna untuk hanya membuat instance yang tidak mendukung akses publik

    1. Gunakan akun manajemen untuk mengaktifkan fitur kebijakan kontrol.

      1. Masuk ke Konsol Manajemen Resource.

      2. Di panel navigasi kiri, pilih Resource Directory > Control Policy.

      3. Di halaman yang muncul, klik Enable Control Policy.

      4. Dalam pesan yang muncul, klik OK.

      5. Klik ikon Refresh dan lihat status fitur kebijakan kontrol.

    2. Gunakan akun manajemen untuk membuat kebijakan kontrol akses kustom di tab JSON.

      1. Di panel navigasi kiri, pilih Resource Directory > Control Policy.

      2. Di tab Policies pada halaman yang muncul, klik Create Policy.

      3. Di halaman Create Policy, klik tab JSON.

      4. Masukkan kebijakan kontrol akses berikut dan klik Next to edit policy information.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

      5. Konfigurasikan parameter Name dan Note.

      6. Periksa dan optimalkan isi kebijakan kontrol akses berdasarkan situasi aktual.

    3. Gunakan akun manajemen direktori sumber daya Anda untuk melampirkan kebijakan kontrol akses kustom yang telah dibuat ke folder atau anggota dalam direktori sumber daya.

      Setelah konfigurasi selesai, anggota yang ditentukan hanya dapat membuat instance Tablestore yang tidak mendukung akses publik.

      1. Di panel navigasi kiri, pilih Resource Directory > Control Policy.

      2. Di halaman Kebijakan Kontrol, klik tab Attachments. Di pohon navigasi tab Lampiran, temukan folder atau anggota yang ingin Anda lampirkan kebijakan kontrol akses. Lalu, klik nama folder atau anggota tersebut.

      3. Di bagian yang muncul, klik Attach Policy.

      4. Di kotak dialog Attach Policy, pilih kebijakan kontrol akses yang ingin Anda lampirkan ke folder atau anggota.

      5. Di pesan yang muncul, klik OK.