管控策略是一种权限管控策略,基于企业组织的组织架构划定各层级、各账号最大权限范围,满足企业中成员账号权限控制、确保操作安全合规和维护可控企业成本的需求。
请注意:管控策略作用在访问控制(IAM)策略之前,只划定了权限边界,并未真正授予权限,您需要在配置好管控策略之后,在成员账号下配置访问控制策略授予权限后,账号下的身份才能按照权限配置访问资源。
当企业通过企业组织功能建立了多个账号的关联关系时,同时也需要建立账号间的运维规则,从而满足以下需求:
定义成员权限边界:禁止成员账号操作云企业网实例等
确保操作安全合规:禁止成员账号删除审计日志、管理账号安全规则等
维护企业成本可控:禁止成员账号自主订购实例、购买域名等
| 概念 | 说明 |
|---|---|
组织策略 | 支持基于企业组织统一配置的策略,分别附加在成员、部门上,实现组织级别的权限管控、运维管控。策略包括:标签策略(暂不支持,敬请期待)、管控策略。 |
管控策略 | 是一种权限管控策略,用于控制成员账号权限范围。管控策略接入整体鉴权逻辑,在访问控制策略之前进行权限判定,不直接授予权限,而是通过隐式拒绝的判定逻辑划定最大权限范围。管控策略可以绑定在组织的账号、部门上。 |
目标 | 管控策略绑定的对象,可以包括企业组织中的部门、账号和root节点。绑定策略后,绑定目标上的用户、角色、根账号都会受到管控,但管理员账号下的任何身份实际不受管控策略影响。 |
系统预设策略 | 管控策略的一种类型:平台为管控策略预设的策略,系统预设策略不可编辑和删除。系统预设策略包括FullVolcAccess,该策略支持访问和操作火山引擎全部云资源。在开启管控策略时将在组织的所有节点上默认附加该策略。 |
| 用户自定义策略 | 管控策略的一种类型:用户可以根据需求自主编辑和附加、解绑、删除的策略。 |
策略元素 | 授权语句(Statement)中的组成元素,包括效果Effect、资源Resource、操作Action和条件Condition。
|
使用管控策略前,需要先开启管控策略功能。开启方式见:需要补充下开启管控策略。
开启管控策略需要使用管理员账号开启。未开启功能前不可绑定策略到目标,管控策略也不会生效。开启管控策略后,系统将自动为所有目标附加系统预设策略FullVolcAccess,确保目标的相关权限不受开启管控策略操作影响。
创建管控策略需要使用管理员账号操作,操作方式见:新建自定义管控策略。
管控策略创建后,需要为目标绑定相应策略,才能控制目标的权限范围。
绑定管控策略需要使用管理员账号操作,操作方式见:绑定自定义管控策略。
管控策略可以绑定在任意部门或成员账号上,不允许直接绑定在管理员账号上。在绑定时,管控策略可以向下继承,即:直接绑定在父级部门的管控策略,会继承在其所有子级部门和账号上。请注意:继承关系不是直接绑定,但是会在检查权限过程中生效,也就是子级目标绑定的策略不变,但在权限上受父级目标绑定的管控策略影响。最终目标的权限范围取直接绑定的策略和继承的策略所划定的权限范围的交集。
当成员账号下的身份(根账号、用户、角色)访问和操作云资源时,管控策略将参与权限判定过程。管控策略在权限判定过程中为首先判断的策略,即:如执行操作的账号为组织内账号且开启管控策略,则执行管控策略内部生效逻辑判定,判定有执行操作的权限后进行访问控制等其他权限策略的判定。
管控策略生效检查沿当前账号所属节点自下而上沿父节点逐级执行,保证最终的权限范围为:节点及其所有父级节点均返回允许的权限交集。策略的生效检查为隐式拒绝逻辑,即在任意层级节点中对某目标进行检查时,对检查的操作:
命中拒绝(Deny)时直接返回拒绝,不允许进行相应操作,同时结束后续全部鉴权流程。
既未命中拒绝(Deny),也未命中允许(Allow),同样直接返回拒绝,不允许进行相应操作,同时结束后续全部鉴权流程。
未命中拒绝(Deny),而命中了允许(Allow),则权限检查返回通过,沿父节点向上至root节点完成检查。如整体检查均通过,则管控策略返回通过,进入基于资源的策略的检查。
请注意:管控策略作用对象为成员账号下的身份(用户、角色、根账号);管控策略不会作用于管理员账号下的任何身份,以及服务关联角色。
如不再需要使用管控策略,为避免管控策略仍然影响成员账号的操作权限,可以关闭管控策略功能。关闭方式见:关闭管控策略。
关闭管控策略需要使用管理员账号操作。关闭管控策略后,系统将自动将所有目标上的策略进行解绑。
| 配额名称 | 取值 |
|---|---|
单个目标(账号、root、部门)可以直接附加的管控策略数量 | 5 |
| 单个企业组织内的自定义管控策略数量 | 100 |
| 单条管控策略最大字符数 | 4096 |