控制策略概述

SWR服务支持多种控制策略：IAM权限控制、服务控制策略(SCP)、资源控制策略(RCP)、网络控制策略(NCP)以及VPCEP终端节点策略。用户可以根据不同的安全业务诉求使用不同的控制策略。下面针对几种策略进行简单介绍。

基于IAM的权限控制

统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问权限。如何使用IAM服务对SWR进行权限控制请参见基于IAM进行权限管理。

基于服务控制策略的权限控制

服务控制策略 (Service Control Policy，SCP) 是一种基于组织 Organizations的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时，该组织或OU下所有账号均受该策略影响。具体请参考服务控制策略概述。

这里的组织是指组织 Organizations服务里面的组织，非容器镜像服务里面的组织。

基于资源控制策略的权限控制

资源控制策略RCP（Resource Control Policies）是组织 Organizations服务中提供的一种护栏控制策略，RCP策略可以限制一个资源所允许的最大权限，访问组织成员账号资源的操作会受到RCP护栏限制。组织管理员可以在组织中设置RCP策略，帮助访问组织成员账号资源时更好地满足业务的安全性和合规性需求。

这里的组织是指组织 Organizations服务里面的组织，非容器镜像服务里面的组织。

基于网络控制策略的权限控制

网络控制策略NCP（Network Control Policies）是组织 Organizations服务中提供的一种护栏控制策略，NCP策略可以限制从一个VPC EP发起访问时所允许的最大权限，当请求从组织内账号所创建的VPC EP发起访问时会受到NCP护栏限制。组织管理员可以在组织中设置NCP策略，帮助由组织内账号创建的VPC EP发起的访问更好地满足业务的安全性和合规性需求。

这里的组织是指组织 Organizations服务里面的组织，非容器镜像服务里面的组织。

基于VPCEP策略的权限控制

VPC终端节点策略是一种基于资源的策略，您可以附加到VPC终端节点，以控制哪些华为云主体可以使用该终端节点访问华为云云服务。具体请参考管理终端节点的策略。

在云环境中，虚拟私有云VPC（Virtual Private Cloud）网络边界控制是一个非常重要的安全管理维度。当一个访问主体请求操作一个资源时，如果目标资源的API访问点是仅存在于账号的VPC内部，而在VPC网络之外不存在访问面，那么可以认为这种访问是发生在一个VPC内部（可以把VPC看作是一个网络安全域），网络攻击面较小，安全性相对可控。但是，当前云上提供的诸多云服务API访问点都是面向互联网开放，网络攻击面较大，安全性相对难控。

配置控制策略后，匿名下载公开镜像也会受控制策略的管控。