配置容器安全策略
Gatekeeper准入控制器使用开放策略(OPA)的策略,提供了更多符合K8s应用场景的安全策略规则。借助ACK集群引入的Gatekeeper组件,您可以在容器服务控制台启用或自定义安全策略,验证Pod的部署和更新是否安全可控。策略治理介绍 ...
使用 Capacity Scheduling
提示:可使用 LimitRanger 准入控制器来为没有设置计算资源需求的 Pod 设置默认值。ResourceQuota 对象的名称必须是合法的 DNS 子域名。配额的修改不会影响已经创建的资源使用对象。启用资源配额 通过 ACS 控制台创建的 Kubernetes 集群...
kube-apiserver组件监控
histogram_quantile($quantile,sum by(operation,name,le,type,rejected)(irate(apiserver_admission_controller_admission_duration_seconds_bucket{type="validate"}[$interval])))展示使用到的validate类型准入控制器、操作、是否拒绝...
功能特性
终端访问控制系统基于三个主要步骤完成网络准入控制。身份设备识别 通过多因子身份识别,建立可信用户身份库;基于可信用户身份,绑定登记的可信设备,从而在日常IT运营过程,帮助管理员判断当前可信网络内的设备数量、类型、操作系统以及...
sandboxed-container-controller
使用说明 sandboxed-container-controller组件默认安装,无需配置即可使用。变更记录 2022年05月 版本号 镜像地址 变更时间 变更内容 变更影响 v1.2.0-0c6b9ba-aliyun registry....
【已弃用】使用Pod安全策略
Kubernetes的Pod安全策略(Pod Security Policy)准入控制组件会基于您定义的规则验证在集群上创建和更新Pod的请求。如果创建或更新Pod的请求不符合定义的规则,系统将拒绝该请求并返回错误。本文将介绍如何在容器服务Kubernetes版ACK...
【已弃用】使用Pod安全策略
Kubernetes的Pod安全策略(Pod Security Policy)准入控制组件会基于您定义的规则验证在集群上创建和更新Pod的请求。如果创建或更新Pod的请求不符合定义的规则,系统将拒绝该请求并返回错误。本文将介绍如何在容器服务Kubernetes版ACK...
Pod安全
对用于TLS引导的 CertificateSigningRequest(CSR)API的读/写访问权限 能够为委托的身份认证/授权检查创建 TokenReview 和 SubjectAccessReview ACK集群默认使用节点限制准入控制器。该控制器仅允许节点修改绑定到节点的一组有限节点属性和...
安全体系概述
运行时监控和告警 当容器应用通过API Server的认证鉴权和准入控制校验成功部署后,在云原生应用零信任的安全原则下,还需要在容器应用的运行时刻提供相应的安全监控和告警能力。因此,阿里云容器服务和云安全中心深度集成了告警处理和漏洞...
安全体系概述
运行时监控和告警 当容器应用通过API Server的认证鉴权和准入控制校验成功部署后,在云原生应用零信任的安全原则下,还需要在容器应用的运行时刻提供相应的安全监控和告警能力。因此,阿里云容器服务和云安全中心深度集成了告警处理和漏洞...
多租户安全
Gatekeeper是一个Kubernetes准入控制器,可以在应用部署时刻执行指定的已实施OPA策略。更多信息,请参考 Gatekeeper。同时OPA支持七层的NetworkPolicy策略定义及基于Labels/Annotation的跨命名空间访问控制,可以作为K8s原生NetworkPolicy...
公共导航概述
公共导航包括:顶部导航条:在使用控制台对阿里云产品进行管控时,向您提供所需要的通用功能和服务入口。全局搜索:面向全控制台提供搜索,包括搜索文档、控制台、API、解决方案和资源等。产品与服务导航:提供全部云产品/云服务的控制台...
访问控制服务条款
欢迎您使用阿里云访问控制服务。访问控制服务使用条款,请参见 访问控制(Resource Access Management)服务条款。
使用方法
针对不同类型的导播台,您可以通过云导播控制台、调用API、集成云导播Web SDK三种 使用方案进行操作。本文介绍不同使用方案的特点和适用场景。使用方案 方案类型 能力说明 使用场景 研发复杂度 云导播控制台 无需开发,在阿里云官网控制台...
ACK发布Kubernetes 1.26版本说明
关于如何从PodSecurityPolicy迁移到内置的PodSecurity准入控制器,请参见 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器。自行部署和配置使用第三方的准入插件。新增功能 临时容器在Kubernetes 1.23中为测试版本,在Kubernetes 1....
创建账号管理员
步骤二:RAM用户登录阿里云控制台 使用新创建的RAM用户登录 阿里云控制台。说明 RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见 RAM用户登录阿里云控制台。在 RAM用户登录 页面的 RAM用户名密码登录 页签,输入RAM...
创建RAM用户并授权
步骤二:RAM用户登录阿里云控制台 使用新创建的RAM用户登录 阿里云控制台。说明 RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见 RAM用户登录阿里云控制台。在 RAM用户登录 页面的 RAM用户名密码登录 页签,输入RAM...
访问控制
表格存储 支持使用的权限控制方式包括RAM权限策略RAM Policy、管控策略Control Policy、Network ACL和实例策略Instance Policy。多种权限控制方式支持组合使用,请根据实际配置。访问控制RAM中的权限策略(RAM Policy)是一种基于用户的...
成员登录阿里云控制台
使用RAM用户(Alice)扮演成员角色的方式登录成员的控制台。使用RAM用户(Alice)登录 资源管理控制台。在左侧导航栏,选择 资源目录>概览。单击 资源组织 或 成员列表 页签。在成员列表中,单击目标成员 操作 列的 登入账号。登录之后,...
权限控制概述
权限控制方式 表格存储 支持使用的权限控制方式包括RAM权限策略RAM Policy、管控策略Control Policy、Network ACL和实例策略Instance Policy。多种权限控制方式支持组合使用,请根据实际配置。访问控制RAM中的权限策略(RAM Policy)是一种...
为RAM用户授权
您可以为RAM用户授予不同的权限,提供给您企业的员工用来使用云控制API,从而让您避免与其他用户共享云账号密钥,降低您企业的信息安全风险。前提条件 您已创建RAM用户(子用户)。具体操作,请参见 创建RAM用户。背景信息 云控制API支持...
配置快捷控制按钮
判断快捷控制按钮的功能使用场景,该功能是为了让消费者方便快捷地使用一个控制按钮进行开关等两档或多档切换的操作控制。在配置之后,快捷控制按钮将会在设备列表的卡片中显示出来,请参考下图设备端显示样式。该样式为官方样式,不可修改...
产品简介
云控制API(CloudControl API)是一款面向开发者的资源化API开发者工具。...使用云控制API,开发人员可以在整个生命周期内使用一致的方法来管理受支持的服务,因此随着开发人员将服务添加到他们的基础架构中,需要学习的 API 就会减少。
通过云控制API实现资源管理
为什么要用云控制API管理云资源 随着云计算服务业务越来越丰富,很多云厂商为客户提供的相关的API数量也多达上万个。而在云服务被集成过程中,客户/伙伴面对上万单点API往往无从下手。从“找到正确API”到“了解使用方式”再到“弄清楚上...
访问控制
使用限制 分类 使用限制 监听 访问控制策略条目仅支持IPv4地址。ALB每个监听支持关联多个访问控制策略组,一个监听可关联的访问控制策略组数量上限为3,不支持提升。一个监听可关联的访问控制策略条目总数上限如下,不支持提升,且各条目中...
漏洞CVE-2023-2727和CVE-2023-2728公告
影响范围 重要 对于CVE-2023-2727:只有在集群开启并正在使用ImagePolicyWebhook准入插件,且正在部署使用临时容器的情况下,才会受到此漏洞影响。对于CVE-2023-2728:只有在集群正在部署使用临时容器,且依赖使用的ServiceAccount配置了 ...
配置ACL实现访问控制
当您使用ALB Ingress对外暴露服务时,您可以使用访问控制ACL,设置特定IP地址的客户端访问服务请求的允许或拒绝规则。本文介绍如何通过AlbConfig创建、修改访问控制条目以及关联已有访问控制策略组。工作原理 ALB Ingress通过将访问控制...
单域名控制台授权
本文为您介绍单域名控制台授权的功能使用说明,以及开启和关闭单域名控制台授权的操作指导。适用场景 当实际注册域名的阿里云账号(如注册代理商的阿里云账号)和域名所有者分属不同人员时,注册代理商可以在域名控制台上开启单域名控制台...
访问控制概述
50 无法调整 一个关联SAG App实例的访问控制实例可创建的访问控制规则个数 50 无法调整 一个阿里云账号可创建的访问控制实例个数 10 无法调整 使用流程 相关文档 为SAG硬件实例配置访问控制 为SAG App实例配置访问控制
管理控制策略
已添加的控制策略支持编辑和删除,您可以根据业务场景的变化对已有控制策略进行修改或者删除。本文介绍如何编辑、删除控制策略,以及如何为控制策略关联资产和用户。编辑控制策略 如果您需要修改已有的控制策略,请参考以下步骤操作:登录...
模型版本准入状态及事件触发
更新指定EAS服务:该功能需要指定一个正在运行的EAS服务,适合指定模型的新增版本被置为准入时配置使用。模型版本准入状态 模型版本包含三种准入状态:Pending:待定。新创建的模型版本默认置为Pending状态。此时模型版本可以通过手动部署...
结果集缓存
查询使用的表在黑白名单准入策略开启时符合对应的准入限制。查询结果集大小未超过数据量的阈值(默认最多缓存10000行,超过设置的阈值,查询结果集会在生成过程中被撤销)。开启结果集缓存 开启结果集缓存有以下两种方式:通过Hint指定某一...
创建并验证域别名
创建并验证域别名成功后,RAM用户登录控制台时可以使用该域别名作为登录用户名的后缀。前提条件 请确保您已经持有公网上可以解析的域名。操作步骤 登录RAM控制台,创建域别名。使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>...
查看和修改默认域名
后续步骤 RAM用户登录 RAM控制台 时可以使用默认域名登录。此时RAM用户登录名称为<UserName>@<AccountAlias>.onaliyun.com ,即用户登录名称>@<默认域名>。更多信息,请参见 RAM用户登录控制台。另外,使用默认域名可以简化SAML SSO的配置...
RAM用户概览
使用RAM用户登录控制台或使用AccessKey调用API。更多信息,请参见 RAM用户登录阿里云控制台 和 使用OpenAPI。最佳实践 当企业拥有多种云资源时,使用RAM的身份管理与权限管理功能,实现用户分权及资源统一管理。更多信息,请参见 用户管理...
创建RAM用户
操作步骤 使用阿里云账号(主账号)或RAM管理员登录 RAM...使用RAM用户登录阿里云控制台或使用AccessKey调用API。更多信息,请参见 RAM用户登录阿里云控制台 和 使用OpenAPI。相关文档 CreateUser-创建RAM用户 通过RAM管控多运维人员的权限
控制台用户和程序用户分离
当身份同时被控制台和程序使用时,如果人员离职回收身份,会造成程序访问失败,进而造成业务故障。风险等级 中风险。最佳实践 应用程序用户和人员用户分离,避免混用。具体如下:应用程序用户:仅启用OpenAPI调用访问方式。且不同的应用...
应用场景
数字办公场景的终端准入管控 未来企业的工作方式将会向云化、数字化转型,技术的不断发展也会从根本上改变企业日常运营的方式,针对已经历过办公数字化第一阶段的企业,本地化的IT办公架构或数据中心,日渐难以满足业务高速发展的需求。...
RAM用户登录阿里云控制台
RAM用户使用该地址登录阿里云控制台。RAM用户专属登录地址 在登录地址中使用 username 参数指定RAM用户名,登录过程中免输用户名,直接单击 下一步 输入密码即可。username 使用UPN(User Principal Name)格式,即RAM控制台用户列表中所见...
管理RAM用户登录设置
本文为您介绍如何为RAM用户启用控制台登录、查看、修改或清空控制台登录设置。启用控制台登录 您可以为RAM用户启用控制台登录,并设置登录密码等参数。使用阿里云账号或RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>用户。在 ...
- 产品推荐
- 这些文档可能帮助您