全部產品
Search

搜尋本產品

    Object Storage Service:Control Policy

    文件中心

    Object Storage Service:Control Policy

    更新時間:Mar 24, 2026

    在企業多帳號環境下,通過資來源目錄管控策略(Control Policy)對企業成員帳號進行統一許可權配置,實現集中化的存取控制和安全性原則管理。

    工作原理

    資來源目錄管控策略是一種基於資源結構(資源夾或成員)的存取控制策略,主要用於定義許可權邊界。在多帳號管理情境中,可通過自訂管控策略統一強制限制各成員帳號中的Bucket安全性原則,例如強制開啟阻止公用訪問等。

    鑒權機制

    管控策略只定義許可權邊界,不直接授予許可權。當成員帳號中的RAM使用者或RAM角色訪問OSS等雲端服務時,系統先執行管控策略的合規性檢查,通過檢查後才進行帳號內RAM授權策略的許可權判定。

    鑒權原則

    管控策略鑒權從被訪問資源所在帳號開始,沿著資來源目錄層級逐級向上進行。在任一層級進行管控策略鑒權時,遵循顯式拒絕優先原則:

    1. 顯式拒絕優先 :存在匹配請求的Deny規則,請求立即被拒絕 。結束整個管控策略鑒權流程,並且不再進行帳號內基於RAM權限原則的鑒權。

    2. 尋找顯式允許 :在某一層級鑒權中不存在Deny規則時,若存在匹配的Allow規則,則本層級鑒權通過,繼續在父節點上進行管控策略鑒權,直至Root資源夾為止。如果Root資源夾鑒權結果也為通過,則整個管控策略鑒權通過,接下來進入帳號內基於RAM權限原則的鑒權。

    3. 預設拒絕 :既無Deny也無Allow,請求預設被拒絕 。不再進入下一個層級鑒權,結束整個管控策略鑒權流程,並且不再進行帳號內基於RAM權限原則的鑒權。

    阿里雲將會評估被訪問的帳號自身及其所在的每一層級上綁定的管控策略,從而確保綁定在較高層級上的管控策略可以在其下的所有帳號上生效。更多資訊,請參見管控策略概述

    策略類型

    • 系統管控策略:系統內建的管控策略,僅可查看,不能修改。開啟管控策略功能後,預設綁定FullAliyunAccess策略允許所有操作。

    • 自訂管控策略:使用者自訂的管控策略,可建立、修改、刪除和綁定到資源夾或成員。

    生效範圍

    對所有資來源目錄成員中的RAM使用者和RAM角色生效,對服務關聯角色、成員的根使用者、管理帳號內的所有身份不生效。

    配置步驟

    重要

    使用管理帳號完成開通資來源目錄建立資源夾建立成員邀請阿里雲帳號加入資來源目錄移動成員的配置啟用資來源目錄,並瞭解資來源目錄使用限制

    步驟一:開啟管控策略功能

    僅需開啟一次。如果已開啟,跳過此步驟。

    1. 訪問資來源目錄-開啟管控策略頁面。

    2. 單擊開啟管控策略並確認開啟。

    3. 單擊刷新查看開啟狀態。

    步驟二:建立自訂管控策略

    1. 訪問資來源目錄-建立管控策略頁面。

    2. 按需選擇配置方式。

      以強制開啟阻止公用訪問配置為例介紹。更多配置請參見常用授權情境

      重要

      配置拒絕策略前,確保成員帳號現有資源已符合策略要求。對於OSS強制開啟阻止公用訪問情境,需確認所有Bucket均已啟用阻止公用訪問功能。

      可視化編輯方式

      可視化編輯模組,設定如下配置:

      • 效果:選擇拒絕

      • 服務:選擇Object Storage Service

      • 操作:選擇oss:DeleteBucketPublicAccessBlockoss:PutBucketPublicAccessBlock

      指令碼編輯方式

      指令碼編輯模組,輸入管控策略配置

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:DeleteBucketPublicAccessBlock",
        "oss:PutBucketPublicAccessBlock"
      ],
      "Resource": "*"
    }
  ]
}
      說明

      管控策略採用JSON格式,包含Version(版本號碼)和Statement(授權語句)兩個核心欄位。其中Statement由Effect(效果)、Action(操作)、Resource(資源)和Condition(條件)元素組成。具體Action配置請參見Action

    3. 單擊確定

    4. 建立管控策略對話方塊,輸入名稱和備忘,然後單擊確定

    步驟三:綁定管控策略到資源夾

    1. 訪問資來源目錄-目錄管理頁面。

    2. 在資來源目錄樹中,單擊目標資源夾。

    3. 策略頁簽,單擊綁定策略

    4. 綁定策略面板,選擇待綁定的管控策略,然後單擊確定

    步驟四:驗證權限原則

    綁定完成後,該資源夾下的所有成員帳號將受到管控策略約束。對於強制開啟阻止公用訪問情境,可通過以下方式驗證策略效果:

    1. 驗證拒絕操作:在成員帳號中嘗試關閉現有Bucket的阻止公用訪問功能,操作將被管控策略拒絕。

    2. 驗證建立限制:嘗試建立未啟用阻止公用訪問的新Bucket,建立請求將被拒絕。

    3. 驗證層級生效:在不同層級的成員帳號中執行相同操作,確認策略在整個資源夾層級生效。

    常用授權情境

    情境1:強制開啟OSS Bucket的阻止公用訪問

    通過在管控策略中配置禁止關閉阻止公用訪問功能或建立未啟用該功能的Bucket,強制開啟OSS Bucket的阻止公用訪問功能。配置樣本如下:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:DeleteBucketPublicAccessBlock",
        "oss:PutBucketPublicAccessBlock"
      ],
      "Resource": "*"
    }
  ]
}

    應用於生產環境

    • 分層策略設計:根據組織架構設計多層級的管控策略,在根資源夾設定全域強制策略,在部門資源夾設定專屬約束策略。

    • 策略版本管理:為重要的管控策略建立版本管理機制,記錄策略變更歷史,便於問題排查和策略復原。

    • 許可權範圍控制:避免設定過於寬泛的拒絕策略,防止誤封正常的業務操作,影響系統功能和使用者體驗。

    • 策略測實驗證:建議先在測試環境或小範圍資源夾驗證策略效果,確認無誤後再推廣到生產環境,避免影響業務正常運行。

    相關文檔