終端節(jié)點(diǎn)策略
私網(wǎng)連接(PrivateLink)支持設(shè)置終端節(jié)點(diǎn)策略,您可以將其綁定到VPC終端節(jié)點(diǎn)來控制哪些阿里云主體能使用終端節(jié)點(diǎn)訪問阿里云服務(wù),從而增強(qiáng)網(wǎng)絡(luò)安全性,保護(hù)敏感數(shù)據(jù),滿足特定的安全需求。
終端節(jié)點(diǎn)策略類型
終端節(jié)點(diǎn)策略不會(huì)覆蓋或取代基于身份的策略或基于資源的策略。例如,如果您目前使用接口終端節(jié)點(diǎn)連接到對(duì)象存儲(chǔ) OSS(Object Storage Service),則還可以使用OSS存儲(chǔ)桶策略來控制從特定終端節(jié)點(diǎn)或特定VPC對(duì)存儲(chǔ)桶的訪問。目前終端節(jié)點(diǎn)策略支持兩種類型:
默認(rèn)策略
默認(rèn)終端節(jié)點(diǎn)允許完全訪問,策略內(nèi)容如下所示:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }自定義策略
支持您根據(jù)實(shí)際需要自定義策略內(nèi)容。更多信息,請(qǐng)參見權(quán)限策略基本元素。
注意事項(xiàng)
終端節(jié)點(diǎn)策略是一種使用RAM policy語言的JSON策略文檔。終端節(jié)點(diǎn)策略需滿足權(quán)限策略語法和結(jié)構(gòu),詳情請(qǐng)參見權(quán)限策略語法和結(jié)構(gòu)。
為阿里云服務(wù)(即阿里云一方云服務(wù))創(chuàng)建接口終端節(jié)點(diǎn)時(shí),您可以為單個(gè)終端節(jié)點(diǎn)設(shè)置策略,也可以隨時(shí)更新終端節(jié)點(diǎn)策略。如果您沒有設(shè)置終端節(jié)點(diǎn)策略,系統(tǒng)將添加默認(rèn)終端節(jié)點(diǎn)策略,默認(rèn)該終端節(jié)點(diǎn)允許被完全訪問。
并非所有阿里云服務(wù)都支持終端節(jié)點(diǎn)策略。如果阿里云服務(wù)不支持終端節(jié)點(diǎn)策略,則表示服務(wù)允許被完全訪問。目前支持配置終端節(jié)點(diǎn)策略的阿里云服務(wù)有操作審計(jì)(ActionTrail)。
當(dāng)您為其他終端節(jié)點(diǎn)服務(wù)而非阿里云服務(wù)創(chuàng)建終端節(jié)點(diǎn)時(shí),該終端節(jié)點(diǎn)允許被完全訪問。關(guān)于其他終端節(jié)點(diǎn)服務(wù)和阿里云服務(wù)的區(qū)別,請(qǐng)參見什么是阿里云服務(wù)和其他終端節(jié)點(diǎn)服務(wù)。