全部文档
当前文档
最近更新时间:2026-05-19 15:23:46
在企业级云资源运维管理中,因误操作、权限过度开放导致的核心资源删除、业务中断、数据丢失等安全事件频发。本文档基于金山云 IAM(身份与访问管理)能力,以显式拒绝(Deny) 策略为核心,针对全品类云资源高危操作提供标准化、可落地的统一管控方案。文档基于实测验证结果输出,覆盖风险操作拦截、策略配置、有效性验证全流程,帮助企业构建云资源安全防线,防范人为操作风险。
本文档适用于金山云企业客户、云平台运维管理人员、安全合规人员、IAM 权限管理员;适用于金山云公有云全地域资源,覆盖计算、存储、网络、CDN、安全、账号管理、计费等核心产品线的子账号权限管控场景。
表格
术语 | 定义说明 |
IAM | 身份与访问管理(Identity and Access Management),金山云提供的用户身份与资源访问权限管控服务 |
Deny 策略 | IAM 策略中的显式拒绝规则,优先级高于 Allow 策略,可强制拦截指定操作,是 IAM 权限管控的高优先级规则 |
Action | 云资源的操作接口标识,对应云产品的具体 API 操作,是 IAM 权限管控的最小粒度单元 |
Resource | 策略生效的云资源范围,用于限定策略对哪些云资源生效 |
操作审计 | 金山云提供的云资源操作全生命周期追溯服务,可记录所有操作事件、操作人、操作结果等信息,用于合规审计与故障排查 |
高优先级拦截原则:采用 Deny 显式拒绝策略,利用 IAM 策略中 Deny 优先级高于 Allow 的规则,确保无论子账号被授予何种 Allow 权限,高危操作均会被强制拦截,从根本上避免权限过度开放导致的风险。
核心风险全覆盖原则:覆盖企业运维中最易引发业务中断、数据丢失的高危操作,重点管控资源删除、实例释放、服务关停、账号删除、订单支付等不可逆操作。
最小化业务影响原则:仅对不可逆、高风险操作进行拦截,不影响子账号正常的资源查看、创建、配置变更等日常运维操作,平衡安全管控与运维效率。
可验证可审计原则:所有管控规则均支持控制台操作实测验证,同时可通过金山云操作审计服务,对拦截的高危操作事件进行全生命周期追溯,满足企业安全合规审计要求。
开箱即用可扩展原则:提供标准化的统一策略模板,支持直接部署使用;同时可根据企业实际业务场景,按需新增 / 删减管控规则,适配个性化管控需求。
本章节梳理了金山云核心产品线的高危操作管控项,明确管控目标、对应 API Action 与操作说明,为策略配置提供精准依据。
产品名称 | 管控目标 | 管控 Action | 操作说明 |
裸金属服务器(EPC) | 删除裸金属服务器实例 | epc:DeleteEpc | 拦截裸金属服务器实例删除操作,避免物理服务器实例被误删导致业务中断 |
云服务器(KEC) | 销毁云服务器实例 | kec:TerminateInstances | 拦截云服务器实例销毁 / 释放操作,防范核心业务节点被误删 |
容器服务(KCE) | 删除容器集群 | kce:DeleteCluster | 拦截 Kubernetes 集群删除操作,避免容器业务集群被误删导致全业务中断 |
文件存储 KFS(NAS/NFS) | 删除文件存储实例 | kec:DeleteFileSystem | 拦截 NAS/NFS 文件系统删除操作,防范业务存储数据被误删丢失 |
产品名称 | 管控目标 | 管控 Action | 操作说明 |
云硬盘(EBS) | 删除云硬盘 | ebs:DeleteVolume | 拦截云硬盘 / 数据盘删除操作,避免业务持久化存储数据被误删 |
对象存储(KS3) | 删除对象存储桶 | ks3:DeleteBucket | 拦截 KS3 对象存储 Bucket 删除操作,防范企业核心数据资产被误删 |
产品名称 | 管控目标 | 管控 Action | 操作说明 |
负载均衡(SLB/LB) | 删除负载均衡实例与监听器 | slb:DeleteLoadBalancerslb:DeleteListeners | 拦截负载均衡实例删除、监听器删除操作,避免业务流量入口中断 |
弹性公网 IP(EIP) | 释放弹性公网 IP | eip:ReleaseAddress | 拦截 EIP 地址释放操作,防范公网出口 IP 变更导致业务访问异常 |
NAT 网关 | 删除 NAT 实例 | vpc:DeleteNat | 拦截 NAT 网关实例删除操作,避免私网资源公网访问通道中断 |
私有网络(VPC) | 删除私有网络实例 | vpc:DeleteVpc | 拦截 VPC 实例删除操作,防范整个业务网络环境被误销毁 |
子网 | 删除子网 | vpc:DeleteSubnet | 拦截子网删除操作,避免业务网段资源被误删 |
路由表 | 删除路由表 | vpc:DeleteRouteTable | 拦截路由表删除操作,防范网络路由配置丢失导致业务网络不通 |
路由策略 | 删除路由条目 | vpc:DeleteRoute | 拦截路由条目删除操作,避免指定路由规则丢失 |
专线接入 | 删除专线相关资源 | vpc:DeleteDirectConnectInterfacevpc:DeleteDirectConnectGateway | 拦截专线连接通道、边界网关删除操作,避免线下 IDC 与云上资源的专线连接中断 |
云企业网(CEN / 云联网) | 删除云企业网实例 | cen:DeleteCen | 拦截云企业网实例删除操作,防范跨地域、跨账号网络互通能力中断 |
共享带宽(BWS) | 删除共享带宽实例 | bws:DeleteBandWidthShare | 拦截共享带宽实例删除操作,避免公网带宽资源被误释放 |
产品名称 | 管控目标 | 管控 Action | 操作说明 |
CDN | 删除 / 关停 CDN 加速域名 | cdn:DeleteCdnDomaincdn:StartStopCdnDomain | 拦截 CDN 加速域名删除、域名启停操作,避免内容分发服务中断导致业务访问异常 |
CDN 证书管理 | 移除 CDN 域名证书 | cdn:RemoveCertificates | 拦截 CDN 域名证书移除操作,防范 HTTPS 加速服务异常 |
SSL 证书服务(KCM) | 删除 SSL 证书 | kcm:DeleteCertificate | 拦截 SSL 证书删除操作,避免证书丢失导致业务 HTTPS 服务中断 |
产品名称 | 管控目标 | 管控 Action | 操作说明 |
访问控制(IAM) | 删除子用户 | iam:DeleteUser | 拦截 IAM 子用户账号删除操作,防范运维人员账号被误删导致权限体系异常 |
访问控制(IAM) | 删除用户组 | iam:DeleteGroup | 拦截 IAM 用户组删除操作,避免批量权限配置丢失 |
表格
产品名称 | 管控目标 | 管控 Action | 操作说明 | 特别说明 |
交易与订单管理 | 订单支付操作 | trade:PayOrder | 拦截订单支付操作,限制子账号的资金操作权限,防范非授权费用产生 | 如果是实时付费或后付费订单:根据最新的权限优化,购买这类资源时,子账号只需要具备“创建权限”即可完成下单,不再强制校验“支付权限”。因此,即使您设置了deny的支付权限,订单仍可能被提交。这类订单在提交时通常价格为0元,实际费用按后续使用量结算 。 |
本策略基于金山云 IAM 策略语法规范编写,核心字段说明如下:
Version:策略语法版本,固定为2015-11-01,为金山云 IAM 当前通用语法版本
Statement:策略声明主体,可包含一条或多条权限规则
Effect:权限效果,本方案固定为Deny,即显式拒绝指定操作
Action:指定需要拦截的高危操作 API 集合,对应上文管控清单中的 Action
Resource:指定策略生效的资源范围,本方案配置为*,即对账号下全地域、全资源生效,企业可根据需求缩小至指定资源范围
Condition:策略生效的条件,本方案默认留空,可按需配置如 IP 白名单、访问时间等生效条件
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Deny",
"Action": [
"epc:DeleteEpc",
"ebs:DeleteVolume",
"iam:DeleteGroup",
"iam:DeleteUser",
"ks3:DeleteBucket",
"kcm:DeleteCertificate",
"cdn:RemoveCertificates",
"cdn:DeleteCdnDomain",
"cdn:StartStopCdnDomain",
"cen:DeleteCen",
"kec:TerminateInstances",
"kec:DeleteFileSystem",
"vpc:DeleteVpc",
"vpc:DeleteNat",
"vpc:DeleteSubnet",
"vpc:DeleteRoute",
"vpc:DeleteDirectConnectInterface",
"vpc:DeleteDirectConnectGateway",
"vpc:DeleteRouteTable",
"bws:DeleteBandWidthShare",
"eip:ReleaseAddress",
"slb:DeleteListeners",
"slb:DeleteLoadBalancer",
"kce:DeleteCluster",
"trade:PayOrder"
],
"Resource": [
"*"
],
"Condition": []
}
]
}登录金山云控制台,进入【访问控制(IAM)】服务页面
在左侧导航栏中,选择【权限管理】-【策略】,进入策略管理页面
点击【新建自定义策略】,选择【按 JSON 创建】模式
将上述完整策略 JSON 内容复制粘贴至策略编辑框中,点击【下一步】
填写策略名称、备注信息(建议填写 “核心高危操作统一拒绝策略,覆盖计算、存储、网络等全品类资源删除 / 关停等高危操作拦截”)
点击【创建】,完成自定义策略的生成
策略授权:在策略列表中找到已创建的策略,点击【关联授权】,选择需要管控的子用户 / 用户组,完成策略授权
授权完成后,策略立即生效,对已授权的子用户 / 用户组的高危操作进行强制拦截
PS:如有特殊自定义权限需求,可通过控制台自主完成配置
错误码 | 说明 |
InvalidAuthenticationCode | 权限验证失败,操作被 Deny 策略拦截 |
UserPolicyNoSuchEntity | 用户未绑定对应的策略,权限操作执行失败 |
AccessDenied | 访问被拒绝,无对应资源的操作权限 |
纯净模式