集团账号服务管控策略是一种基于层级结构(部门或成员)的访问控制策略,可以统一管理集团账号各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。服务管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(CAM)设置权限后,相应身份才具备对资源的访问权限。
应用场景
当企业创建了一个集团账号,并为每个部门创建了成员后,如果对各成员的行为不加以管控,就会破坏运维规则,带来安全风险和成本浪费。集团账号提供服务管控策略功能,企业可以通过管理账号集中制定管理规则,并将这些管理规则应用于集团账号的各层级结构(部门、成员)上,管控各成员内资源的访问规则,确保安全合规和成本可控。例如:禁止成员申请域名、禁止成员删除日志记录等。
服务管控策略类型
系统服务管控策略
系统自带的服务管控策略。您只能查看,不能创建、修改和删除系统服务管控策略。开启服务管控策略功能后,集团账号内所有的部门和成员默认绑定了系统策略FullQcloudAccess,该策略允许对您在腾讯云上的所有资源进行任何操作。
自定义管控策略
用户自定义的服务管控策略。您可以创建、修改和删除自定义服务管控策略。自定义服务管控策略创建成功后,您需要将自定义服务管控策略绑定到部门或成员上,才能生效。不需要时,也可以随时解绑。
服务管控策略工作原理
2、开启服务管控策略功能后,系统策略 FullQcloudAccess 将默认绑定到集团账号内的所有部门及成员,此策略允许所有操作,以防止管控策略的不当配置造成意料之外的访问失败。
4、使用管理账号将服务管控策略绑定到集团账号节点(部门、成员)。更多信息,请参见 绑定自定义管控策略。 5、服务管控策略允许绑定到集团中的部门或成员。服务管控策略具备向下继承的特点,例如:为父部门设置管控策略A,为子部门设置管控策略B,则管控策略A和管控策略B都会在子部门及其下的成员中生效。
注意:
请先进行局部小范围测试,确保策略的有效性与预期一致,然后再绑定到全部目标节点( 部门、成员)。
6、当成员中的CAM用户或CAM角色访问腾讯云服务时,腾讯云将会先进行服务管控策略检查,再进行账号内的CAM权限检查。具体如下:
(1)服务管控策略鉴权从被访问资源所在账号开始,沿着集团账号层级逐级向上进行。
(2)在任一层级进行服务管控策略鉴权时,命中拒绝(Deny)策略时都可以直接判定结果为拒绝(Explicit Deny),结束整个服务管控策略鉴权流程,并且不再进行账号内基于CAM权限策略的鉴权,直接拒绝请求。
(3)在任一层级进行服务管控策略鉴权时,如果既未命中拒绝(Deny)策略,也未命中允许(Allow)策略,同样直接判定结果为拒绝(Explicit Deny),不再进入下一个层级鉴权,结束整个服务管控策略鉴权流程,并且不再进行账号内基于CAM限策略的鉴权,直接拒绝请求。
(4)在某一层级鉴权中,如果未命中拒绝(Deny)策略,而命中了允许(Allow)策略,则本层级鉴权通过,继续在父节点上进行管控策略鉴权,直至Root部门为止。如果Root部门鉴权结果也为通过,则整个管控策略鉴权通过,接下来进入账号内基于CAM权限策略的鉴权。
(5)服务管控策略对服务关联角色不生效。
(6)腾讯云将会评估被访问的账号自身及其所在的每一层级上绑定的服务管控策略,从而确保绑定在较高层级上的服务管控策略可以在其下的所有账号上生效。