更新时间:2026-07-01 GMT+08:00
分享

控制策略概述

SWR服务支持多种控制策略:IAM权限控制、服务控制策略(SCP)、资源控制策略(RCP)、网络控制策略(NCP)以及VPCEP终端节点策略。用户可以根据不同的安全业务诉求使用不同的控制策略。下面针对几种策略进行简单介绍。

表1 策略对比与选型

鉴权策略

生效范围

核心差异化

使用场景

IAM 权限

当前账号内

身份鉴权的基础,决定“谁能操作什么资源”,是所有访问的第一道门禁

所有场景必备,用于给用户分配最小权限角色。是其他策略生效的前提。

SCP

(服务控制策略)

整个组织

权限的“护栏”,强制设定“所有人最大能做什么”,防止成员账号权限过大导致的安全基线被突破。

多账号合规管控,禁止所有账号删除镜像、禁止公开注册表、限制外部拉取等。

RCP

(资源控制策略)

整个组织

资源的“贴身保镖”,为特定资源设定“能被谁、在什么条件下访问”,即使请求方有IAM权限,不满足RCP也会被拒绝。

核心资产强化保护,为生产环境的核心注册表设置“只允许特定服务账号拉取,禁止删除”,防御IAM配置错误或身份盗用。

NCP

(网络控制策略)

整个组织

网络源的“全局门禁”,强制规定“从VPC内部访问时能做什么”,从网络入口统一管控。

强制内网访问,要求所有推送/拉取操作必须通过内部VPC,拒绝公网访问,满足内网隔离的合规要求。

VPCEP 策略

单个VPC终端节点

网络通道的“细粒度门禁”,精细控制“这一个VPC终端节点能访问哪些SWR操作”。

混合云/专属通道管控,为不同的VPC终端节点设置差异化权限。

基于IAM的权限控制

统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制云服务和资源的访问权限。如何使用IAM服务对SWR进行权限控制请参见基于IAM进行权限管理

基于服务控制策略的权限控制

服务控制策略 (Service Control Policy,SCP) 是一种基于组织 Organizations的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。具体请参考服务控制策略概述

这里的组织是指组织 Organizations服务里面的组织,非容器镜像服务里面的组织。

基于资源控制策略的权限控制

资源控制策略(Resource Control Policies,RCP)是组织服务提供的一种护栏策略,核心用于限制组织下的资源的最大可用权限边界。通过RCP明确资源允许的权限上限,所有访问组织内成员账号资源的操作,均需受对应RCP的护栏约束,从资源维度规避权限过度授予风险。支持关联到组织、组织单元(OU)或单个成员账号。当关联组织或组织单元(OU)时,其下所有成员账号的资源访问均受该策略约束;关联单个成员账号时,仅对该账号内资源的访问生效。具体请参考资源控制策略概述

这里的组织是指组织 Organizations服务里面的组织,非容器镜像服务里面的组织。

基于网络控制策略的权限控制

网络控制策略(Network Control Policy,NCP)是一种基于组织的护栏控制策略,核心用于管控VPC 终端节点(VPC EP)的访问权限边界。支持关联至组织、OU或成员账号。当NCP关联组织或组织单元(OU)时,其下所有成员账号通过VPC EP发起的访问,均需遵循该策略约束;关联单个成员账号时,仅对该账号的 VPC EP 访问生效。具体请参考网络控制策略概述

这里的组织是指组织 Organizations服务里面的组织,非容器镜像服务里面的组织。

基于VPCEP策略的权限控制

VPC终端节点策略是一种基于资源的策略,您可以附加到VPC终端节点,以控制哪些华为云主体可以使用该终端节点访问华为云云服务。具体请参考管理终端节点的策略

在云环境中,虚拟私有云VPC(Virtual Private Cloud)网络边界控制是一个非常重要的安全管理维度。当一个访问主体请求操作一个资源时,如果目标资源的API访问点是仅存在于账号的VPC内部,而在VPC网络之外不存在访问面,那么可以认为这种访问是发生在一个VPC内部(可以把VPC看作是一个网络安全域),网络攻击面较小,安全性相对可控。但是,当前云上提供的诸多云服务API访问点都是面向互联网开放,网络攻击面较大,安全性相对难控。

配置控制策略后,匿名下载公开镜像也会受控制策略的管控。

相关文档