このトピックでは、Resource Access Management (RAM) ユーザーが指定した IP アドレスまたは CIDR ブロックから Alibaba Cloud にアクセスすることを許可するためのポリシーの例を示します。
この例では、RAM ユーザーが 192.0.2.0/24 および 203.0.113.2 からのみ Elastic Compute Service (ECS) にアクセスできるようにする方法を示します。次の 2 つのアクセスポリシーのいずれかを使用します。
Allowポリシーで、IpAddress条件を使用して、許可する IP アドレスまたは CIDR ブロックを指定します。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }Denyポリシーで、NotIpAddress条件を使用して、許可する IP アドレスまたは CIDR ブロックを指定します。説明アクセスポリシーは拒否優先の原則に従います。RAM ユーザーは、192.0.2.0/24 および 203.0.113.2 以外の IP アドレスまたは CIDR ブロックから ECS へのアクセスを拒否されます。
{ "Statement": [ { "Action": "ecs:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:*", "Effect": "Deny", "Resource": "*", "Condition": { "NotIpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
説明
Condition要素は、現在のアクセスポリシーで指定された操作にのみ適用されます。acs:SourceIpの値を、ご利用の環境の送信元 IP アドレスまたは CIDR ブロックに変更してください。