cara mengakses resource Alibaba Cloud dari alamat IP tertentu - Resource Access Management

Topik ini menyediakan contoh kebijakan untuk mengizinkan Pengguna Resource Access Management (RAM) mengakses Alibaba Cloud hanya dari alamat IP atau Blok CIDR tertentu.

Contoh berikut menunjukkan cara mengizinkan pengguna RAM mengakses ECS hanya dari 192.0.2.0/24 dan 203.0.113.2. Gunakan salah satu dari dua kebijakan akses berikut:

Dalam kebijakan Allow, gunakan kondisi IpAddress untuk menentukan alamat IP atau Blok CIDR yang diizinkan.

{
    "Statement": [
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.2"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

Dalam kebijakan Deny, gunakan kondisi NotIpAddress untuk menentukan alamat IP atau Blok CIDR yang diizinkan.

Catatan

Kebijakan akses mengikuti prinsip prioritas deny. Pengguna RAM akan ditolak aksesnya ke ECS dari alamat IP atau Blok CIDR apa pun selain 192.0.2.0/24 dan 203.0.113.2.

{
    "Statement": [
        {
            "Action": "ecs:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ecs:*",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "acs:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.2"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

Catatan

Elemen Condition hanya berlaku untuk operasi yang ditentukan dalam kebijakan akses saat ini.
Ubah nilai acs:SourceIp menjadi alamat IP asal atau Blok CIDR di lingkungan Anda.