RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。

前提条件

创建自定义策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见权限策略基本元素权限策略语法和结构

背景信息

企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望用户只能通过企业专用网络的IP地址访问阿里云,而不是在任意地点都可以访问阿里云。

您可以根据需要创建自定义策略,然后创建RAM用户并为RAM用户授予对应的权限,从而保证RAM用户只能通过指定的IP地址访问阿里云。

步骤一:创建自定义策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略管理
  3. 权限策略管理页面,单击创建权限策略
  4. 新建自定义权限策略页面,输入策略名称备注
  5. 选择配置模式脚本配置,然后编辑策略内容。

    策略内容示例:RAM用户只能通过192.168.0.0/16这个IP地址访问ECS。您可以通过设置Conditionacs:SourceIp的值为192.168.0.0/16来实现。 

    {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "192.168.0.0/16"
        }
      }
    }
  ],
  "Version": "1"
}
    说明 Condition(限制条件)只针对当前权限策略描述的操作有效。实际使用时,您可以将IP地址: 192.168.0.0/16修改为企业的专用网络IP地址。
  6. 单击确定

步骤二:创建RAM用户

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击创建用户
  4. 创建用户页面的用户账号信息区域,输入登录名称显示名称
    说明 单击 添加用户,可一次性创建多个RAM用户。
  5. 访问方式区域,选择访问方式。
    • 控制台访问:设置控制台登录密码、重置密码策略和多因素认证策略。
      说明 自定义登录密码时,密码必须满足密码复杂度规则。关于如何设置密码复杂度规则,请参见 设置RAM用户密码强度
    • 编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
    说明 为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
  6. 单击确定

步骤三:为RAM用户授权

步骤一创建的自定义策略授予步骤二创建的RAM用户。

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个阿里云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。 更多信息,请参见支持资源组的云服务
    2. 输入被授权主体。
      被授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
  5. 单击确定
  6. 单击完成