RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。

前提条件

背景信息

企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望RAM用户只能通过企业专用网络的IP地址访问阿里云,而不是在任意地点都可以访问阿里云。

解决方案

您可以根据需要创建自定义策略并为RAM用户添加相应的权限,从而保证RAM用户只能通过指定的IP地址访问阿里云。

  1. 创建RAM用户
  2. 创建自定义策略
  3. 为RAM用户授权

创建自定义策略

  1. 在左侧导航栏的权限管理菜单下,单击权限策略管理
  2. 单击创建权限策略
  3. 填写策略名称备注
  4. 配置模式选择脚本配置,拷贝下述策略示例到策略内容区域下并根据实际情况进行修改。
    限制用户登录IP地址

    下述策略表示:RAM用户只能通过192.168.0.0/16这个IP地址访问ECS。您可以通过设置Conditionacs:SourceIp的值为192.168.0.0/16来实现。 

    {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "192.168.0.0/16"
        }
      }
    }
  ],
  "Version": "1"
}
    说明 Condition(限制条件)只针对当前权限策略描述的操作有效。您可以修改IP:192.168.0.0/16为企业的专用网络IP地址。
  5. 单击确定