控制策略概述
SWR服务支持多种控制策略:IAM权限控制、服务控制策略(SCP)、资源控制策略(RCP)、网络控制策略(NCP)以及VPCEP终端节点策略。用户可以根据不同的安全业务诉求使用不同的控制策略。下面针对几种策略进行简单介绍。
| 鉴权策略 | 生效范围 | 核心差异化 | 使用场景 |
|---|---|---|---|
| IAM 权限 | 当前账号内 | 身份鉴权的基础,决定“谁能操作什么资源”,是所有访问的第一道门禁 | 所有场景必备,用于给用户分配最小权限角色。是其他策略生效的前提。 |
| SCP (服务控制策略) | 整个组织 | 权限的“护栏”,强制设定“所有人最大能做什么”,防止成员账号权限过大导致的安全基线被突破。 | 多账号合规管控,禁止所有账号删除镜像、禁止公开注册表、限制外部拉取等。 |
| RCP (资源控制策略) | 整个组织 | 资源的“贴身保镖”,为特定资源设定“能被谁、在什么条件下访问”,即使请求方有IAM权限,不满足RCP也会被拒绝。 | 核心资产强化保护,为生产环境的核心注册表设置“只允许特定服务账号拉取,禁止删除”,防御IAM配置错误或身份盗用。 |
| NCP (网络控制策略) | 整个组织 | 网络源的“全局门禁”,强制规定“从VPC内部访问时能做什么”,从网络入口统一管控。 | 强制内网访问,要求所有推送/拉取操作必须通过内部VPC,拒绝公网访问,满足内网隔离的合规要求。 |
| VPCEP 策略 | 单个VPC终端节点 | 网络通道的“细粒度门禁”,精细控制“这一个VPC终端节点能访问哪些SWR操作”。 | 混合云/专属通道管控,为不同的VPC终端节点设置差异化权限。 |
基于IAM的权限控制
统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制云服务和资源的访问权限。如何使用IAM服务对SWR进行权限控制请参见基于IAM进行权限管理。
基于服务控制策略的权限控制
服务控制策略 (Service Control Policy,SCP) 是一种基于组织 Organizations的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。具体请参考服务控制策略概述。
这里的组织是指组织 Organizations服务里面的组织,非容器镜像服务里面的组织。
基于资源控制策略的权限控制
资源控制策略(Resource Control Policies,RCP)是组织服务提供的一种护栏策略,核心用于限制组织下的资源的最大可用权限边界。通过RCP明确资源允许的权限上限,所有访问组织内成员账号资源的操作,均需受对应RCP的护栏约束,从资源维度规避权限过度授予风险。支持关联到组织、组织单元(OU)或单个成员账号。当关联组织或组织单元(OU)时,其下所有成员账号的资源访问均受该策略约束;关联单个成员账号时,仅对该账号内资源的访问生效。具体请参考资源控制策略概述。
这里的组织是指组织 Organizations服务里面的组织,非容器镜像服务里面的组织。
基于网络控制策略的权限控制
网络控制策略(Network Control Policy,NCP)是一种基于组织的护栏控制策略,核心用于管控VPC 终端节点(VPC EP)的访问权限边界。支持关联至组织、OU或成员账号。当NCP关联组织或组织单元(OU)时,其下所有成员账号通过VPC EP发起的访问,均需遵循该策略约束;关联单个成员账号时,仅对该账号的 VPC EP 访问生效。具体请参考网络控制策略概述。
这里的组织是指组织 Organizations服务里面的组织,非容器镜像服务里面的组织。
基于VPCEP策略的权限控制
VPC终端节点策略是一种基于资源的策略,您可以附加到VPC终端节点,以控制哪些华为云主体可以使用该终端节点访问华为云云服务。具体请参考管理终端节点的策略。
在云环境中,虚拟私有云VPC(Virtual Private Cloud)网络边界控制是一个非常重要的安全管理维度。当一个访问主体请求操作一个资源时,如果目标资源的API访问点是仅存在于账号的VPC内部,而在VPC网络之外不存在访问面,那么可以认为这种访问是发生在一个VPC内部(可以把VPC看作是一个网络安全域),网络攻击面较小,安全性相对可控。但是,当前云上提供的诸多云服务API访问点都是面向互联网开放,网络攻击面较大,安全性相对难控。
配置控制策略后,匿名下载公开镜像也会受控制策略的管控。