全部文档
当前文档
最近更新时间:2025-08-08 15:15:14
管控策略是一种权限管控策略,基于企业账号中心的组织架构划定各层级、各账号最大权限范围,满足企业中成员账号权限控制、确保操作安全合规和维护可控企业成本的需求。
请注意:
管控策略作用对象是成员账号及其下级IAM子用户或角色,而非MA账号
管控策略作用在访问控制(IAM)策略之前,只划定了权限边界,并未真正授予权限,您需要在配置好管控策略之后,在成员账号下配置访问控制策略授予权限后,账号下的身份才能按照权限配置访问资源。
当企业通过企业账号中心功能建立了多个账号的关联关系时,同时也需要建立账号间的运维规则,从而满足以下需求:
定义成员权限边界:禁止成员账号操作云服务器等
确保操作安全合规:禁止成员账号删除审计日志、管理账号安全规则等
维护企业成本可控:禁止成员账号自主订购实例、购买域名等
概念 | 说明 |
|---|---|
组织策略 | 支持基于企业组织统一配置的策略,分别附加在成员、部门上,实现组织级别的权限管控、运维管控。策略包括:管控策略。 |
管控策略 | 是一种权限管控策略,用于控制成员账号权限范围。管控策略接入整体鉴权逻辑,在访问控制策略之前进行权限判定,不直接授予权限,而是通过隐式拒绝的判定逻辑划定最大权限范围。管控策略可以绑定在组织的账号、部门上。 |
目标 | 管控策略绑定的对象,可以包括企业组织中的部门(权限单元)、账号和root节点。绑定策略后,绑定目标上的用户、角色、根账号都会受到管控,但管理员账号下的任何身份实际不受管控策略影响。 |
系统预设策略 | 管控策略的一种类型:平台为管控策略预设的策略,系统预设策略不可编辑和删除。系统预设策略包括FullVolcAccess,该策略支持访问和操作火山引擎全部云资源。在开启管控策略时将在组织的所有节点上默认附加该策略。 |
用户自定义策略 | 管控策略的一种类型:MA账号可以根据需求自主编辑和附加、解绑、删除的策略。 |
策略元素 | 授权语句(Statement)中的组成元素,包括效果Effect、资源Resource、操作Action和条件Condition。
|
开启管控策略
开通企业账号中心后系统会默认开启管控策略能力,系统将在成员账号加入企业账号中心时默认赋予策略FullKsyunAccess,确保成员账号在未被授予Deny权限时不受任何限制,同时后续用户可配合Deny策略进行权限管控。
创建管控策略
创建管控策略需要使用管理员账号操作,操作方式见:新建自定义管控策略。
绑定管控策略
管控策略创建后,需要为目标绑定相应策略,才能控制目标的权限范围。
绑定管控策略需要使用管理员账号操作,操作方式见:绑定自定义管控策略。
管控策略可以绑定在任意权限单元(部门)或成员账号上,不允许直接绑定在管理员账号上。在绑定时,管控策略可以向下继承,即:直接绑定在父级部门的管控策略,会继承在其所有子级部门和账号上。请注意:继承关系不是直接绑定,但是会在检查权限过程中生效,也就是子级目标绑定的策略不变,但在权限上受父级目标绑定的管控策略影响。最终目标的权限范围取直接绑定的策略和继承的策略所划定的权限范围的交集。
管控策略生效逻辑
当成员账号下的身份(根账号、用户、角色)访问和操作云资源时,管控策略将参与权限判定过程。管控策略在权限判定过程中为首先判断的策略,即:如执行操作的账号为企业账号中心内账号,则执行管控策略内部生效逻辑判定,判定有执行操作的权限后进行访问控制等其他权限策略的判定。
管控策略生效检查沿当前账号所属节点自下而上沿父节点逐级执行,保证最终的权限范围为:节点及其所有父级节点均返回允许的权限交集。策略的生效检查为隐式拒绝逻辑,即在任意层级节点中对某目标进行检查时,对检查的操作:
命中拒绝(Deny)时直接返回拒绝,不允许进行相应操作,同时结束后续全部鉴权流程。
既未命中拒绝(Deny),也未命中允许(Allow),同样直接返回拒绝,不允许进行相应操作,同时结束后续全部鉴权流程。
未命中拒绝(Deny),而命中了允许(Allow),则权限检查返回通过,沿父节点向上至root节点完成检查。如整体检查均通过,则管控策略返回通过,进入基于资源的策略的检查。
请注意:管控策略作用对象为成员账号下的身份(用户、角色、主账号);管控策略不会作用于MA账号下的任何身份,以及服务关联角色。
配额名称 | 取值 |
|---|---|
单个目标(账号、root、部门)可以直接附加的管控策略数量 | 5 |
纯净模式
