VPC终端节点策略
操作场景
VPC终端节点策略是一种附加到VPC终端节点(VPCEP)上的基于资源的访问控制策略。由于SWR企业版的镜像上传和下载均通过VPC终端节点通道进行,您可以通过配置该终端节点的策略,在网络通道入口处直接管控镜像的上传或下载操作,实现对允许上传或下载的镜像范围的精细化控制。
前提条件
已创建VPC终端节点,具体操作步骤请参见通过VPCEP方式访问SWR。
策略语法示例
配置示例1:配置VPC终端节点策略,只允许上传下载指定的镜像。
下面策略的含义:VPC1内的服务器仅拥有目标组织(test-namespace)下特定镜像仓库(test-repo)的上传与下载权限。
{
"Version": "5.0",
"Statement": [
{
"Action": [
"swr:repo:upload",
"swr:repo:download"
],
"Resource": [
"swr:*:*:repo:test-namespace/test-repo"
],
"Effect": "Allow",
"Principal": "*"
}
]
} 配置示例2:配置VPC终端节点策略,只允许下载指定的私有镜像,可以下载所有的公开镜像。
下面策略的含义:VPC1内的服务器仅拥有目标组织(test-namespace)下特定镜像仓库(test-repo)的下载权限,公开镜像不受限制。
{
"Version": "5.0",
"Statement": [
{
"Action": [
"swr:repo:download"
],
"Resource": [
"swr:*:*:repo:test-namespace/test-repo"
],
"Effect": "Allow",
"Principal": "*"
},
{
"Action": [
"swr:repo:download"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Principal": "*",
"Condition": {
"Bool": {
"swr:RepositoryIsPublic": [
"true"
]
}
}
}
]
} 配置示例3:放通CCE服务的SWR公开镜像。
若使用VPCEP策略控制了镜像下载的策略,为确保CCE服务的插件能够正常部署,需要在配置VPCEP策略时,允许从SWR服务下载CCE所使用的公开镜像。具体涉及的SWR组织包括:
| 组织名称 | 用途说明 |
|---|---|
| hwofficial | CCE官方镜像所属组织 |
| autopilot-official | CCE Autopilot官方镜像所属组织 |
| asm | 应用服务管理镜像所属组织 |
| op_svc_apm | 应用性能管理镜像所属组织 |
| hwofficial-ucs | UCS相关镜像所属组织 |
若其他云服务(如CodeArts、FunctionGraph等)也依赖SWR中的公开镜像,需由各服务团队自行梳理其所需的镜像列表,并配置相应的VPCEP放通策略。
放通策略配置:
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"swr:repo:download"
],
"Resource": [
"swr:*:*:repo:hwofficial/*",
"swr:*:*:repo:autopilot-official/*",
"swr:*:*:repo:asm/*",
"swr:*:*:repo:hwofficial-ucs/*",
"swr:*:*:repo:op_svc_apm/*"
]
}
]
} 配置示例4:放通OBS桶的访问权限。
SWR服务的镜像数据实际存储在OBS对象存储中。若您通过VPCEP策略对OBS访问进行管控,需单独为SWR服务使用的OBS桶配置放通策略,否则将影响SWR镜像的正常读写操作。
| 区域 | 主桶名称 | 备份桶名称 |
|---|---|---|
| 华北-北京一(cn-north-1) | op-svc-swr-b051-10.44.104.35 | op-svc-swr-cn-north-1-backup |
| 华北-北京二(cn-north-2) | op-svc-swr-b051-10-198-17-119-3az | op-svc-swr-cn-north-2-backup |
| 华北-北京四(cn-north-4) | op-svc-swr-b051-10-38-19-62-3az | op-svc-swr-cn-north-4-backup |
| 华北-乌兰察布一(cn-north-9) | op-svc-swr-b051-10.67.13.15 | op-svc-swr-cn-north-9-backup |
| 华东-上海一(cn-east-3) | op-svc-swr-b051-10-147-7-14-3az | op-svc-swr-cn-east-3-backup |
| 华东-上海二(cn-east-2) | op-svc-swr-b051-10.142.35.24 | op-svc-swr-cn-east-2-backup |
| 华东二(cn-east-4) | op-svc-swr-cn-east-4-multiaz | op-svc-swr-cn-east-4-backup |
| 华东-青岛(cn-east-5) | op-svc-swr-cn-east-5-multiaz | op-svc-swr-cn-east-5-backup |
| 华南-广州(cn-south-1) | op-svc-swr-b051-10-230-33-197-3az | op-svc-swr-cn-south-1-backup |
| 华南-深圳(cn-south-2) | op-svc-swr-b051-10.243.19.92 | - |
| 西南-贵阳一(cn-southwest-2) | op-svc-swr-b051-10-205-14-19-3az | op-svc-swr-cn-southwest-2-backup |
| 中国-香港(ap-southeast-1) | op-svc-swr-b051-10.229.19.28 | op-svc-swr-ap-southeast-1-backup |
| 亚太-曼谷(ap-southeast-2) | op-svc-swr-b051-10.17.19.92 | op-svc-swr-ap-southeast-2-backup |
| 亚太-新加坡(ap-southeast-3) | op-svc-swr-b051-10-38-34-172-3az | op-svc-swr-ap-southeast-3-backup |
| 非洲-约翰内斯堡(af-south-1) | op-svc-swr-b051-10.21.20.226 | op-svc-swr-b051-10-21-20-226-3az |
| 拉美-圣保罗一(sa-brazil-1) | op-svc-swr-b051-10-22-233-67 | op-svc-swr-sa-brazil-1-backup |
OBS放通策略配置:
{
"Sid": "allow-huaweicloud-public-data",
"Effect": "Allow",
"Action": [
"HeadBucket",
"ListBucket",
"GetBucketLocation",
"GetObject",
"GetObjectVersion"
],
"Resource": [
"op-svc-swr-b051-10-22-233-67",
"op-svc-swr-b051-10-22-233-67/*",
"op-svc-swr-sa-brazil-1-backup",
"op-svc-swr-sa-brazil-1-backup/*"
]
} 策略参数说明
| 参数 | 含义 | 值 | |
|---|---|---|---|
| Version | 身份策略的版本。 | 固定为5.0,不支持修改:代表身份策略JSON语法的版本号。 | |
| Statement: 身份策略的授权语句 | Sid:语句ID | Sid(Statement ID)表示语句的可选标识符。 | 为一个由零个或多个字符组成的字符串。 |
| Effect:作用 | 定义Action中的操作权限是否允许执行。 |
当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。 | |
| Action/NotAction:授权项 | 操作权限。 | 格式为“服务名:资源类型:操作”。授权项支持*和?,*表示任意个字符,?表示恰好一个字符。Action/NotAction不区分大小写。Action表示匹配列表中的所有授权项,NotAction表示匹配列表之外的所有授权项。 您可以打开身份策略授权参考,导航至云服务的“操作”小节,查看该服务所有授权项。 | |
| Resource: 资源类型 | 身份策略所作用的资源。 | 资源类型用资源URN表示,格式为“<service-name>:<region>:<account-id>:<type-name>:<resource-path>”, 资源URN支持*和?,*表示任意个字符,?表示恰好一个字符。Resource不区分大小写。资源URN详情可参见使用URN标识华为云资源。 | |
| Condition:条件 | 格式为“运算符:{条件键:[条件值1,条件值2]}”。其中,条件键不区分大小写。 如果您设置多个条件,同时满足所有条件时,该身份策略才生效。 | ||
