访问控制：通过RAM限制用户的访问IP地址

操作步骤

本文将提供一个示例，仅允许RAM用户通过192.0.2.0/24和203.0.113.2这两个IP地址访问ECS实例。

1. 使用RAM管理员创建自定义权限策略。

   登录RAM控制台，选择权限管理 > 权限策略，单击创建权限策略，采用可视化编辑模式或脚本编辑模式创建自定义权限策略。具体操作，请参见创建自定义权限策略。

   

   权限策略内容如下：

   {
     "Statement": [
       {
         "Action": "ecs:*",
         "Effect": "Allow",
         "Resource": "*",
         "Condition": {
           "IpAddress": {
             "acs:SourceIp":[
             "192.0.2.0/24",
             "203.0.113.2"
            ]
           }
         }
       }
     ],
     "Version": "1"
   }

   说明

   实际使用时，请将acs:SourceIp的值修改为您实际环境的真实IP地址。

2. 使用RAM管理员创建RAM用户。

   选择身份管理 > 用户，单击创建用户，创建RAM用户。为了账号安全，建议您根据实际用途为RAM用户只选择控制台访问或OpenAPI调用访问中的一种，将人员用户和应用程序用户分离，避免混用。具体操作，请参见创建RAM用户。

   

3. 使用RAM管理员为RAM用户授权。

   在用户页面，找到目标RAM用户，为RAM用户添加对应的自定义权限策略。具体操作，请参见为RAM用户授权。

   

4. 使用RAM用户访问ECS实例，验证权限策略是否生效。

   如果RAM用户从权限策略中指定的IP地址（192.0.2.0/24和203.0.113.2）访问ECS实例，可以正常访问；同时，该RAM用户从其他IP地址发起访问，访问均被拒绝。则表示权限策略已经生效。

常见问题

授权后，发现权限策略不生效怎么办？

如果您对RAM用户授权后，发现权限策略不生效，那可能是权限策略中设置的IP地址不正确。对于支持操作审计的云服务，您可以在操作审计控制台查看相关的操作事件，在操作事件详情中获取RAM用户发起请求的源IP地址。然后尝试修改权限策略中的IP地址，重新验证权限策略是否生效。

相关文档

• 除了本文所述的在Allow策略中，使用IpAddress设置允许访问的IP地址，您还可以在Deny策略中，使用NotIpAddress设置允许访问的IP地址。具体的权限策略示例，请参见通过指定的IP地址访问阿里云。

• 权限策略中的Effect、Action、Resource、Condition等元素的含义，请参见权限策略基本元素。

• 在操作审计中查看事件的具体操作，请参见快速查询事件。