本文為您提供RAM使用者通過指定IP地址訪問阿里雲的策略範例。
本文將提供一個樣本,僅允許RAM使用者通過192.0.2.0/24和203.0.113.2訪問ECS。以下兩種權限原則,任選其一即可:
在
Allow
策略中,使用IpAddress
增加允許訪問的IP地址。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
在
Deny
策略中,使用NotIpAddress
增加允許訪問的IP地址。說明權限原則遵從Deny優先原則,所以RAM使用者從192.0.2.0/24和203.0.113.2以外的IP地址訪問ECS時,會被拒絕。
{ "Statement": [ { "Action": "ecs:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:*", "Effect": "Deny", "Resource": "*", "Condition": { "NotIpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
說明
Condition
(限制條件)只針對當前權限原則描述的操作有效。請將
acs:SourceIp
的值修改為您實際環境的真實IP地址。