文档首页/ 组织 Organizations/ 最佳实践/ 通过服务控制策略禁止在指定区域外创建资源
更新时间:2025-12-25 GMT+08:00
分享

通过服务控制策略禁止在指定区域外创建资源

应用场景

基于业务驻留本地与成本优化诉求,存在破坏数据驻留风险的资源以及主要的付费资源均只应该在业务部署的核心区域创建。否则会造成额外的数据泄露与成本失控风险。

本文主要介绍组织管理员如何禁止业务人员在成员账号内,在香港区域之外创建ECS虚拟机资源以及运维操作。

前提条件

已启用服务控制策略。

创建服务控制策略(SCP)

  1. 以组织管理员或管理账号的身份登录组织管理控制台。进入策略管理页,单击“服务控制策略”,进入SCP管理页。

  2. 单击“创建”,进入创建策略页面,策略名称建议使用以下格式。

    {策略编号}-{scp}-{生效环境}-{预计的绑定对象}-{策略效果}

  3. 在策略内容左侧单击策略语句中的“Effect”或“Action”,然后在右侧的策略编辑器中单击“添加操作”后的“+”号。

  4. 在弹窗中选择ECS服务的“选择所有操作”,单击“确定”。

  5. 单击“添加资源”后的“+”号,在弹窗中选择ECS服务的“所有资源”,单击“确定”。

  6. 单击“添加条件(可选)”后的“+”号,在弹窗中配置如下参数并保存。
    • 条件键:g:RequestedRegion
    • 限定符:默认
    • 运算符:StringNotEquals
    • 值:ap-southeast-1

  7. 最终的策略内容如下,表示禁止在香港区域(ap-southeast-1)之外的其他区域操作ECS服务:
    {
         "Version":"5.0",
         "Statement":[
             {
                 "Effect":"Deny",
                 "Action":["ecs:*:*"],
                 "Resource":["*"],
                 "Condition":{
                     "StringNotEquals":{
                         "g:RequestedRegion":"ap-southeast-1"
                     }
                 }
             }
         ]
     }
  8. 单击页面右下角的“保存”,自定义SCP创建完成。

绑定SCP

将创建的SCP与某一成员账号进行绑定后,该成员账号内任何用户尝试在非香港区域查看或者创建ECS实例,均会被拦截。

  1. 在SCP策略列表中,单击上一步创建的SCP操作列的“绑定”。

  2. 在弹窗中选择要绑定的成员账号,在文本框中输入“确认”,然后单击“确定”,完成SCP绑定。

策略完成绑定后将在30分钟内生效。

相关文档