Topik ini memberikan contoh kebijakan yang dapat digunakan untuk memberikan izin kepada pengguna RAM agar dapat mengakses sumber daya Alibaba Cloud menggunakan alamat IP tertentu atau blok CIDR.
Dalam contoh ini, pengguna RAM hanya dapat mengakses instance Elastic Cloud Service (ECS) dari 192.0.2.0/24 dan 203.0.113.2. Anda dapat menggunakan salah satu kebijakan berikut:
Allowkebijakan: Tentukan elemenIpAddressuntuk menambahkan alamat IP atau blok CIDR dari mana Anda ingin pengguna RAM mengakses instance ECS.{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }Denykebijakan: Tentukan elemenNotIpAddressuntuk menambahkan alamat IP atau blok CIDR dari mana Anda ingin membatasi akses pengguna RAM terhadap instance ECS.CatatanKebijakan Deny memiliki prioritas lebih tinggi daripada kebijakan Allow. Pengguna RAM tidak dapat mengakses instance ECS dari alamat IP atau blok CIDR selain 192.0.2.0/24 dan 203.0.113.2.
{ "Statement": [ { "Action": "ecs:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:*", "Effect": "Deny", "Resource": "*", "Condition": { "NotIpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
Elemen
Conditionhanya berlaku untuk tindakan yang ditentukan dalam kebijakan saat ini.Nilai dari
acs:SourceIpdalam kode sebelumnya hanya untuk referensi. Anda harus menentukan nilai sesuai dengan kebutuhan bisnis Anda.