このトピックでは、特定のIPアドレスまたはCIDRブロックを使用して、RAMユーザーにAlibaba Cloudリソースへのアクセス権限を付与するために使用できるサンプルポリシーについて説明します。
この例では、RAMユーザーは192.0.2.0/24および203.0.113.2からのみElastic Cloud Service (ECS) インスタンスにアクセスできます。 次のいずれかのポリシーを使用できます。
許可ポリシー:IpAddress要素を指定して、RAMユーザーがECSインスタンスにアクセスするIPアドレスまたはCIDRブロックを追加します。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }[拒否]ポリシー:[NotIpAddress]要素を指定して、RAMユーザーがECSインスタンスにアクセスするIPアドレスまたはCIDRブロックを追加します。説明拒否ポリシーは、許可ポリシーよりも優先されます。 RAMユーザーは、192.0.2.0/24および203.0.113.2以外のIPアドレスまたはCIDRブロックからECSインスタンスにアクセスできません。
{ "Statement": [ { "Action": "ecs:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:*", "Effect": "Deny", "Resource": "*", "Condition": { "NotIpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
説明
Condition要素は、現在のポリシーに指定されているアクションにのみ適用されます。上記のコードの
acs:SourceIpの値は参照用に指定されています。 ビジネス要件に基づいて値を指定する必要があります。