このトピックでは、サンプルポリシーを使用して、指定された IP アドレスから OSS (Object Storage Service) にアクセスする方法を示します。

  • 次のポリシーは、許可された RAM ユーザーが 192.168.0.0/16 および 172.12.0.0/16 CIDR ブロックの IP アドレスから myphotos ディレクトリのデータを読み取れることを示します。
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                          "oss:ListBuckets",
                          "oss:GetBucketStat",
                          "oss:GetBucketInfo",
                          "oss:GetBucketTagging",
                          "oss:GetBucketAcl" 
                          ], 
                "Resource": [
                    "acs:oss:*:*:*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "oss:ListObjects",
                    "oss:GetObject"
                ],
                "Resource": [
                    "acs:oss:*:*:myphotos",
                    "acs:oss:*:*:myphotos/*"
                ],
                "Condition":{
                    "IpAddress": {
                        "acs:SourceIp": ["192.168.0.0/16", "172.12.0.0/16"]
                    }
                }
            }
        ]
    }
  • 次のポリシーは、許可された RAM ユーザーの IP アドレスが 192.168.0.0/16 CIDR ブロックにある場合を除き、RAM ユーザーが OSS にアクセスできないことを示します。
    "Deny" コマンドを使用したポリシーは、"Allow" コマンドを使用したポリシーよりも優先度が高くなります。 IP アドレスが CIDR ブロック 192.168.0.0/16 にない RAM ユーザーが myphotos ディレクトリを読み取ろうとすると、OSS は RAM ユーザーに権限がないことを通知します。
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                          "oss:ListBuckets",
                          "oss:GetBucketStat",
                          "oss:GetBucketInfo",
                          "oss:GetBucketTagging",
                          "oss:GetBucketAcl" 
                          ], 
                "Resource": [
                    "acs:oss:*:*:*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "oss:ListObjects",
                    "oss:GetObject"
                ],
                "Resource": [
                    "acs:oss:*:*:myphotos",
                    "acs:oss:*:*:myphotos/*"
                ]
            },
            {
                "Effect": "Deny",
                "Action": "oss:*",
                "Resource": [
                    "acs:oss:*:*:*"
                ],
                "Condition":{
                    "NotIpAddress": {
                        "acs:SourceIp": ["192.168.0.0/16"]
                    }
                }
            }
        ]
    }