访问控制策略常见问题
需要确保放行特定子域名的策略优先级高于拒绝其他网站的策略。关于如何配置访问控制策略,请参见 互联网边界(出入双向流量)。如何通过云防火墙加强堡垒机域名的访问控制?堡垒机作为综合性运维管控平台,提供运维身份鉴别、账号管控、...
OSS存储空间ACL禁止公共读
OSS存储空间的ACL策略禁止公共读,视为“合规”。应用场景 OSS存储空间的公共读权限会增加存储数据在公网泄露的风险,因此需要禁止。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 OSS存储...
OSS存储空间ACL禁止公共读写
OSS存储空间的ACL策略为私有,视为“合规”。应用场景 OSS存储空间的公共读写权限,对全部互联网用户均可输入,将面临恶意注入的数据风险,因此需要禁止。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级...
OSS合规管理最佳实践
规则名称 规则描述 OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。OSS存储空间开启服务端加密 OSS存储空间开启服务端OSS完全托管...
网络及数据安全最佳实践
OSS存储空间授权策略设置IP限制 OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。OSS存储空间ACL禁止公共读 OSS...
系统管理
注意事项 建表策略管理:在DataWorks智能数据建模开启建表策略的工作空间(包含建模空间及其纳管的所有研发空间)下,使用数据开发(DataStudio)新建表或修改表时,如不符合所配置的建表策略,则创建的表执行提交、发布操作时会受阻。...
云治理中心合规实践
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。阿里云账号不存在AccessKey 阿里云账号不存在任何状态的AccessKey,视为“合规”...
创建桌面集
您可以单击 创建策略 自定义网站访问策略,具体操作请参见 管理访问策略,策略创建完成后,请单击 刷新列表 即可展示新建的网站访问策略列表。应用策略 用于管控员工使用云桌面时各应用的使用权限。您可以单击 创建策略 自定义应用策略,...
阿里云卓越架构安全支柱最佳实践
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。OSS存储空间开启服务端加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。OSS存储空间开启版本控制 如果没有开启版本控制,会导致数据被覆盖或删除...
统一配置防护规则
规则名称 规则说明 作用节点 开启指导 云治理中心指定存储审计日志的OSS存储空间未开启公共读写 云治理中心指定存储审计日志的OSS存储空间,ACL策略禁止公共读写,视为“合规”。日志账号 必选 云治理中心指定存储审计日志的OSS存储空间...
功能特性
存储空间清单 托管静态网站 OSS支持静态网站托管功能,您可以将您的存储空间配置成静态网站托管模式,并通过存储空间域名访问该静态网页。静态网站托管概述 镜像回源 配置了镜像回源规则后,当请求者访问Bucket中一个不存在的Object时,OSS...
风险识别规则
以操作名称为 数据下载前置事件 的扩展程序为例,如果处理该事件的扩展程序为开启状态,所有空间数据下载操作都将阻塞直至扩展程序返回结果,仅当扩展程序返回警告状态时:如果触发下载操作的空间配置了审批策略,则会自动触发该空间定义的...
RAM授权
RAM支持以下两种权限策略:系统策略:统一由阿里云创建,用户只能使用不能修改,策略的版本更新由阿里云维护。Flink支持的系统策略,详情请参见 系统权限策略。自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。...
DeployPolicyInstance-部署策略规则实例
您可以在ACK集群中选择安全策略类型,配置策略实例的治理动作(告警或拦截)、作用的命名空间范围等,以创建并部署一个策略实例。您可以调用DeployPolicyInstance接口,在指定集群的命名空间中部署策略规则实例。调试 您可以在OpenAPI ...
访问权限控制
本文以将单个命名空间授权给某个RAM用户为例,介绍如何使用ACM的访问权限控制功能。迁移到MSE Nacos ACM进入下线状态,所有配置管理相关的需求由MSE中的Nacos承接(ACM独享版,更好的安全和稳定性)。您需要在ACM控制台导出配置,然后在MSE...
ModifyPolicyInstance-更新策略规则实例
您可以调用ModifyPolicyInstance接口,在指定集群中更新策略规则实例,调整策略实例的治理动作(告警或拦截)、作用的命名空间范围等。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI ...
集群成本分析与优化-容器服务ACK
通过命名空间中资源浪费最多的Pod,您可以直观看出造成命名空间资源浪费的主要应用,从而分析浪费原因,有针对性地进行资源优化策略的设计。通过成本费用分析部门成本消耗情况 ⑤ Cost 为该命名空间产生的费用,Cost Radio 为该命名空间...
功能概览
您可以在控制台左侧导航栏,单击 策略中心,查看已支持备份策略的地域。如何创建备份策略,请参见 新建备份策略。创建备份计划后,执行的第一次备份任务为全量备份,之后默认为增量备份。恢复OSS 同地域恢复不收取费用。OSS Bucket中文件...
网络访问控制
不在白名单的网络访问,响应动作 设备访问了白名单之外的IP地址或域名,网络访问控制策略的响应动作:仅告警:不会阻断访问行为,只会产生告警。阻断:阻断访问行为,同时产生告警。白名单容量 设置白名单的最大条数,超出最大条数后无法...
扩展程序审批策略
以操作名称为数据下载前置事件的扩展程序为例,如果处理该事件的扩展程序为开启状态,所有空间数据下载操作都将阻塞直至扩展程序返回结果,仅当扩展程序返回警告状态时:如果触发下载操作的空间配置了审批策略,则会自动触发该空间定义的...
权限策略判定流程
说明 目前阿里云提供了两种基于资源的策略:OSS存储空间策略(Bucket Policy)和RAM角色的信任策略(Trust Policy)。如果请求访问的不是以上两种资源,则不会进行基于资源的策略判定,而直接将基于身份的策略判定结果作为最终结果。合并...
OSS公开存储空间设置权限策略且不能为匿名账号授予...
应用场景 为OSS存储空间设置具体的授权策略。避免为匿名账号设置任何读写权限从而导致任意人员可访问,为数据安全带来隐患。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 读写权限公开的OSS...
API概览
ModifyWebRule 修改已经创建的网站业务转发规则 修改已经创建的网站业务转发规则。ModifyTlsConfig 编辑网站业务转发规则的TLS安全策略 编辑网站业务转发规则的TLS安全策略。ModifyHttp2Enable 设置网站业务转发规则的HTTP2.0开关状态 设置...
使用ASM授权策略试运行模式
您可以使用ASM授权策略试运行模式,在不影响正式环境的情况下验证授权策略的正确性和可靠性,降低生产环境出现问题的风险,确保授权策略的顺利部署和运行。前提条件 已添加集群到ASM实例,且ASM实例版本为1.14及以上。关于如何升级实例,请...
使用ASM授权策略试运行模式
您可以使用ASM授权策略试运行模式,在不影响正式环境的情况下验证授权策略的正确性和可靠性,降低生产环境出现问题的风险,确保授权策略的顺利部署和运行。前提条件 已添加集群到ASM实例,且ASM实例版本为1.14及以上。关于如何升级实例,请...
最佳实践:为RAM用户授权指引
说明 DataWorks中默认阿里云主账号下所有RAM用户均为DataWorks的租户成员,允许访问全局模块,并且可访问已加入工作空间的空间模块。该策略仅禁止RAM用户访问DataWorks模块界面,但仍可调用其有权限的模块OpenAPI。进入访问控制。创建...
设置DDoS防护策略
导出文件中的DDoS防护策略格式和批量添加DDoS防护策略的格式要求一致。更多信息,请参见 批量导出。每行对应一条转发规则的DDoS防护策略。每条DDoS防护策略从左到右包含以下字段:转发协议端口、转发协议(tcp、udp)、源新建连接限速、源...
实体转交
实体转交支持将目标工作空间下各模块的实体(资源、函数等),通过自动或手动转交触发机制,统一转交给指定实体接收人。转交时除默认规则外,还支持您自定义空间级别转交规则。本文为您介绍如何配置实体转交规则,以及如何查看转交日志等。...
如何配置升级策略
升级策略对事件的影响 关联升级策略的服务触发事件后,在事件动态中会展示影响该事件的升级策略及其已执行升级策略的动态内容;变更未响应、未完结的事件的优先级和影响程度,会影响事件关联的升级策略;说明 即按照变更后的升级策略进行...
管理控制策略
已添加的控制策略支持编辑和删除,您可以根据业务场景的变化对已有控制策略进行修改或者删除。本文介绍如何编辑、删除控制策略,以及如何为控制策略关联资产和用户。编辑控制策略 如果您需要修改已有的控制策略,请参考以下步骤操作:登录...
API概览
DescribeUserClusterNamespaces 查询RAM用户或角色可见的集群命名空间 在ACK集群中,可以通过Kubernetes命名空间对集群访问者进行权限和资源的逻辑隔离,只被授予指定命名空间下RBAC权限的用户将无法访问集群其他命名空间内的资源。...
API概览
DescribeUserClusterNamespaces 查询RAM用户或角色可见的集群命名空间 在ACK集群中,可以通过Kubernetes命名空间对集群访问者进行权限和资源的逻辑隔离,只被授予指定命名空间下RBAC权限的用户将无法访问集群其他命名空间内的资源。...
使用OPA策略实现细粒度访问控制
在 OPA策略 页面,单击 创建,选择 default 命名空间,设置OPA策略的 名称 为 bookinfo-opa,单击 新增匹配标签,设置 名称 为 version,值 为 v1,将以下Rego规则复制到文本框,然后单击 创建。展开查看Rego规则 package istio.authz ...
使用OPA策略实现细粒度访问控制
在 OPA策略 页面,单击 创建,选择 default 命名空间,设置OPA策略的 名称 为 bookinfo-opa,单击 新增匹配标签,设置 名称 为 version,值 为 v1,将以下Rego规则复制到文本框,然后单击 创建。展开查看Rego规则 package istio.authz ...
查看QoS策略中规则应用状态
前提条件 在您查看QoS策略的规则应用状态前,请确保您已经满足以下条件:您已经创建了基于应用的QoS策略实例。具体操作,请参见 管理QoS策略实例。您已经将创建的QoS策略实例关联到目标智能接入网关实例。具体操作,请参见 管理QoS策略关联...
管理本地日志(Binlog)
A:可能是实例的存储空间使用率已经达到80%或剩余空间不足5 GB,此时如果 本地日志保留策略 中的 可用存储空间 是开启状态,则本地日志会被清理。建议手动增加 存储空间 或开启 存储空间自动扩容 功能,防止存储空间满了以后实例被锁定。
网络安全
应创建一个默认拒绝(Deny All)策略限制来自命名空间的所有入站和出站流量,或者使用Calico创建一个全局策略。apiVersion:networking.k8s.io/v1 kind:NetworkPolicy metadata:name:default-deny namespace:default spec:podSelector:{} ...
扮演RAM角色时的权限策略判定流程
当可信实体通过阿里云控制台、API或CLI扮演RAM角色时,需要执行权限策略的判定流程,根据判定结果决定是否允许扮演RAM角色(AssumeRole)。本文为您介绍扮演RAM角色时的权限策略判定流程。说明 扮演RAM角色时的权限策略判定流程,遵从阿里...
标签策略继承和有效策略计算
如果存在冲突的标签键策略配置,则根据策略的绑定时间进行判断,绑定时间早的策略为有效策略。资源目录标签策略 资源目录的管理账号可以将标签策略绑定到资源目录的不同层级(Root资源夹、资源夹或成员)。具体如下:当策略绑定到Root资源...
使用限制
1000 RAM角色名称的字符数 64 一个RAM角色允许绑定的系统策略个数 20 一个RAM角色允许绑定的自定义策略个数 10 默认域名 默认域名(含后缀)的字符数 64 权限策略 权限策略名称的字符数 128 多因素认证 一个阿里云账号中允许创建的虚拟MFA...
- 产品推荐
- 这些文档可能帮助您