データ開発の過程で、厳格な権限管理を行う一部のユーザーは、RAMユーザーが会社内の特定のIPアドレスを介してのみログインできるようにすることを要求します。 ここでは、RAMユーザーを使用して特定のローカルIPアドレスを介してDataWorksにログインする方法について説明します。
前提条件
まず、RAM ユーザーの作成を参照して、RAM ユーザーの作成と権限付与を完了します。 AliyunDataworksFullAccess は、デフォルトのシステム権限であり、変更できません。 追加のカスタム認証ポリシーを作成する必要があります。
カスタム許可ポリシーを設定する
[RAMコンソール] にログインし、ポリシー列の[ポリシーの作成]をクリックし、編集ページに移動します。 この場合、ポリシー名はdataworksIPlimit1 です。 設定モードのオプションのためにスクリプトを選択し、カスタムポリシーを入力して下さい。 次の図に、カスタムポリシーの全内容を示します。 "acs:SourceIp"は、DataWorks へのアクセスを許可する IP アドレスです。 この例では、100.1.1.1/32です。
情報を入力した後、 [OK] をクリックし、権限を作成します。
{
"Version": "1",
"Statement":
[{
"Effect": "Deny",
"Action":["dataworks:*"]、
"Resource": ["acs:dataworks:*:*:*"],
"Condition":
{
"NotIpAddress": {
{
"acs:SourceIp": "100.1.1.1/32"
}
}
}]
}
カスタム権限を追加する
RAMコンソールで、 [権限の追加]をクリックします。 [カスタムポリシー]を選択し、先ほど作成したカスタムポリシーを選択済みに追加し、 [OK ]をクリックします。
をクリックし、制御するRAMユーザーを選択し、 検証
100.1.1.1/32 とは違う IP アドレスを使用して DataWorks コンソールにログインし、ログインに失敗したことを確認します。