什么是STS
一个RAM角色可以绑定一组权限策略,没有绑定权限策略的RAM角色可以存在,但不能访问资源。扮演角色 扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole-获取扮演角色的临时身份凭证 可以获得角色的安全...
RAM角色概览
一个RAM角色可以绑定一组权限策略,没有绑定权限策略的RAM角色可以存在,但不能访问资源。扮演角色 扮演角色是实体用户获取角色安全令牌的方法。具体如下:通过控制台扮演角色:一个实体用户登录控制台后,通过切换身份的方式扮演RAM角色。...
打通阿里云业务的网络通道
关闭网络打通开关 关闭指定VPC实例或者CEN实例的 网络打通 开关,表示取消了 SASE 的零信任网关与VPC网络资源及CEN关联的网络资源构建的回源链路,即 SASE 终端用户不能访问业务资源。警告 关闭网络打通开关,会导致终端用户无法使用SASE ...
业务资源部署在VPC实例(关联CEN场景)
关闭网络打通开关 关闭指定VPC实例或者CEN实例的 网络打通 开关,表示取消了 SASE 网关与VPC网络资源及CEN关联的网络资源构建的回源链路,即 SASE 终端用户不能访问业务资源。警告 关闭网络打通开关,会导致终端用户无法使用SASE App访问...
业务资源部署在VPC实例(未关联CEN场景)
关闭网络打通开关 关闭指定VPC实例 网络打通 开关,表示取消了 SASE 网关与VPC网络资源构建的回源链路,即 SASE 终端用户不能访问业务资源。警告 关闭网络打通开关,会导致终端用户无法使用SASE App访问内网应用。请谨慎操作。后续步骤 ...
使用ClassicLink
VPC内的ECS实例只能访问已连接到该VPC的经典网络ECS实例,不能访问未连接的经典网络ECS实例,也不能访问经典网络内的其他云资源。更多信息,请参见 ClassicLink概述。重要 目前,仅具有开通经典网络特权的地域,才支持为该地域的VPC开启...
可信服务概述
禁用可信服务意味着该可信服务不能再访问资源目录中的账号和资源,同时,该可信服务会删除本服务内与资源目录集成相关的全部资源。可信服务与服务关联角色 资源目录为每个成员创建了资源目录的服务关联角色...
管理委派管理员账号
设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。...更多信息,请参见 支持的可信服务...移除成功后,该账号将不能在可信服务中访问资源目录组织和成员信息。
启用删除保护
在嵌套资源栈上启用删除保护 嵌套资源栈不能直接启用删除保护,您只能在其父资源栈进行操作。在左侧导航栏,单击 资源栈。在顶部菜单栏的地域下拉列表,选择资源栈的所在地域,例如:华东1(杭州)。在 资源栈列表 页面,勾选 显示嵌套资源...
管理标签策略委派管理员账号
在左侧导航栏,选择 资源目录>可信服务。在 可信服务 页面,单击 标签 服务 操作 列的 管理。...移除成功后,该账号将不能:在标签策略中访问资源目录组织和成员信息。管理资源目录标签策略。移除委派管理员不影响已存在的标签策略。
网络智能服务系统权限策略参考
本策略定义了只读访问网络智能服务(NIS)的权限。查看策略详情 服务关联角色策略 AliyunServiceRolePolicyForNis 网络智能服务使用服务关联角色 AliyunServiceRoleForNis 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForNis 是...
网络型负载均衡NLB系统权限策略参考
本策略定义了只读访问网络型负载均衡服务(NLB)的权限。查看策略详情 服务关联角色策略 AliyunServiceRolePolicyForNLBLogDelivery 网络型负载均衡NLB使用服务关联角色 AliyunServiceRoleForNLBLogDelivery 来访问您在其他云产品中的资源...
独享数据集成资源组
网络连通方案 独享数据集成资源组与其他独享资源组类似,本质上为一组阿里云ECS实例,在数据集成任务运行时,需保障资源组与数据源之间的网络是连通的,且不会因为白名单等特殊安全访问设置阻断资源组与数据源之间的网络连通性。...
数据导入方式
例如,华东2(上海)地域的独享资源,只能给华东2(上海)地域的工作空间使用(无法绑定其他区域的VPC),并且独享资源组不能夸Vswtich访问Lindorm集群。默认资源组 无 公网访问Lindorm会在DataWorks产生额外费用。步骤三:网络配置 在配置...
模板验证失败的原因
资源(Resources)资源 ID不能包含正斜线(/)。资源定义必须包含Type属性,而且值必须为字符串。资源定义中,不能包含有除Type、Properties、Metadata、DependsOn、DeletionPolicy和Description以外的值。输出(Outputs)如果定义了输出...
终端节点服务监控项
packet/s 平均值 终端节点服务资源 Metric 监控指标 指标含义 单位 聚合统计方法 VpcEndpointServiceResourceInBps 终端节点服务资源流入带宽 从VPC网络访问终端节点服务关联的服务资源的带宽。bit/s 平均值 ...
新增和使用独享数据集成资源组
由于执行数据同步任务流程的要求,需要保证资源组可以访问数据源(来源数据源和目标数据源)所在的网络,且不会因白名单限制等原因不能访问数据源。因此,您需要在保证网络连通的前提下,再使用数据集成,如果网络不通,会导致数据同步任务...
网络安全保护
比如一个基础的Web应用包括公网负载均衡入口、Web服务器和数据库,数据库只能被Web服务器访问,而不能通过负载均衡入口访问到。网络分层模型可以参考下图:下面列举出一些常见的糟糕设计:将所有资源都创建在一个VPC或者vSwitch中,不同...
资源编排自定义权限策略参考
当ROS不通过STS进行临时授权访问时,以下策略表示RAM用户当前IP网段为42.120.XX.XX/24、且正在使用HTTPS访问阿里云控制台或API时,可以访问ROS和ECS所有功能和资源,但不能访问其他服务。说明 当ROS不通过STS进行临时授权访问时,支持透传...
使用RAM控制资源访问
当ROS不通过STS进行临时授权访问时,以下策略表示RAM用户当前IP网段为42.120.XX.XX/24、且正在使用HTTPS访问阿里云控制台或API时,可以访问ROS和ECS所有功能和资源,但不能访问其他服务。说明 当ROS不通过STS进行临时授权访问时,支持透传...
自动部署资源栈
当您开通了资源目录,使用资源目录的企业管理账号或委派管理员账号创建服务管理权限模式的资源栈组时,可以设置自动部署功能。...您也可以根据需要变更自动部署设置。...资源栈不能与现有资源栈组或新资源栈组重新关联。单击 保存。
使用限制
本文列举了资源目录、资源共享、资源组和标签的使用限制。资源目录使用限制 限制项 最大值 提升配额方式 备注 每个阿里云账号允许创建的资源目录数量 1个 无 如果账号是资源目录的成员,将不能创建资源目录。目录中的Root资源夹数量 1个 无...
弹性加速计算实例EAIS安全性说明
弹性加速计算实例EAIS的云上安全性,是阿里云在面对当前的网络安全形势和挑战时所采取的措施,以及提高用户在资源和网络访问控制、EAIS资源操作、故障隔离和风险检测等方面的安全性所具备的能力。说明 通过在ECS实例(非GPU实例)上绑定...
资源规划和配置
在调用API时会消耗一定的资源组,为了防止资源组不能正常访问数据源,或资源(CPU、内存)不足导致API调用异常、高频调用请求被限流等问题,您需要确保资源组的网络连通性和充足的性能。本文为您介绍资源组规划时的注意项及不同资源组类型...
UDAF概述
如果您的UDF涉及访问VPC网络中的资源时,需要先创建MaxCompute与目标VPC网络间的网络连接,才可以直接通过UDF访问VPC网络中的资源,操作详情请参见 通过UDF访问VPC网络资源。读取表数据 目前版本不支持使用UDF/UDAF/UDTF读取以下场景的表...
删除资源账号类型的成员
基本流程 删除条件检查项 资源目录检查项 删除成员前,系统会自动检查资源目录的以下条件是否满足要求:成员删除许可检查 只有开启了成员删除许可,才能删除成员。具体操作,请参见 开启成员删除许可。删除操作者检查 根据安全最佳实践,您...
使用模块
资源逻辑名称中不能包含字符:.输出名称中不能包含字符:.条件名称中不能包含字符:&。不能为模板指定 Transform 和 Workspace。不能为模块指定 Metadata 和 Count。资源或模块的完全限定逻辑名称、条件完全限定名称和映射完全限定名称...
访问控制
为保证您资源的数据安全,您可以通过访问控制的RAM Policy、资源目录的Control Policy、表格存储实例的Network ACL、表格存储实例的Instance Policy功能对云资源的访问进行控制,只允许被授权的用户访问表格存储资源。表格存储 支持使用的...
权限控制概述
资源管理Resource Management中的资源目录的管控策略(Control Policy)是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界。表格存储 中的NetWork ACL是基于资源的网络访问控制功能,...
VPC内如何使用云产品?
VPC内的ECS也无法访问公网或者被公网访问,并且VPC不能通过私网访问经典网络,但阿里云产品一般都提供公网访问能力和私网访问能力,95%以上的云产品都已经支持VPC。说明 需要内部访问的云产品一定要使用相同的网络类型。例如VPC类型的ECS,...
在Pod中访问外部网络
配置网络策略 检查Pod所在的命名空间是否设置网络策略,并且检查该网络策略是否限制了Pod不能访问目标地址。如果有,您需要修改网络策略。具体操作,请参见 在容器计算服务使用网络策略。配置安全组 检查集群的安全组以及Pod所在的ECS的...
服务开通
边缘网络加速服务让您访问阿里云资源可以不经过公网进行,大大降低了安全风险。本文将为您介绍如何开通边缘网络加速服务。第一步:注册阿里云账号 注册阿里云账号:注册页面。实名认证:实名认证。完成企业认证:企业认证。第二步:服务...
专有网络VPC系统权限策略参考
系统策略统一由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。自定义策略由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。在产品迭代过程中,专有网络VPC会向系统策略中添加新的权限,...
限制不同交换机下的ECS间的互通
本文为您介绍如何通过网络ACL功能限制不同交换机下ECS实例的互通。前提条件 您已经创建了专有网络和交换机。具体操作,请参见 创建和管理专有网络 ...图 1.ECS1实例能访问ECS2实例 图 2.ECS1实例不能访问ECS3实例 图 3.ECS1实例不能访问互联网
配置网络
允许函数既能访问公网,也能访问VPC 通过函数网络访问公网和通过用户VPC访问内网。所需的网络配置如下:设置 允许访问 VPC 为 是,并配置允许函数访问的VPC信息。设置 允许函数访问公网 为 是。既不允许函数访问公网,也不允许访问VPC 通过...
在Pod中访问外部网络
配置网络策略 检查Pod所在的命名空间是否设置网络策略,并且检查该网络策略是否限制了Pod不能访问目标地址。如果有,您需要修改网络策略。具体操作,请参见 在ACK集群使用网络策略。配置安全组 检查集群的安全组以及Pod所在的ECS的安全组...
配置网络
允许函数既能访问公网,也能访问VPC 通过函数网络访问公网和通过用户VPC访问内网。所需的网络配置如下:设置 允许访问 VPC 为 是,并配置允许函数访问的VPC信息。设置 允许函数访问公网 为 是。既不允许函数访问公网,也不允许访问VPC 通过...
什么是网络智能服务
网络资源拓扑:快速了解阿里云云上网络架构,查看云网络资源关系以及您部署的云上组网结构。进行网络配置验证,根据访问场景,分析实体的路由拓扑,识别云上资源的网络可达组网是否符合预期。统一运维云网络资源,支持按资源类型提供运维...
ModifyNetworkAclAttributes-修改网络ACL的属性
操作 访问级别 资源类型 条件关键字 关联操作 vpc:ModifyNetworkAclAttributes Write NetworkAcl acs:vpc:{#regionId}:{#accountId}:networkacl/{#NetworkAclId} 无 无 请求参数 名称 类型 必填 描述 示例值 NetworkAclId string 是 网络 ...
管理员首次配置内网访问指南
如果当前用户组不能满足您的需求,可以在 自定义用户组 页签重新配置用户组。关于如何配置用户组,请参见 配置用户组。某公司所有员工 已选应用 设置策略生效用户组允许访问的应用。单击 添加,在 标签 页签,根据配置的标签选择指定的应用...
- 产品推荐
- 这些文档可能帮助您