如果要針對執行個體進行訪問來源IP、訪問來源網路、訪問來源TLS版本的限制,您可以通過為執行個體配置Instance Policy實現,確保訪問來源安全,進而保證執行個體中資源安全。
前提條件
已建立Tablestore執行個體。具體操作,請參見建立執行個體。
注意事項
只有阿聯酋(杜拜)地區不支援Instance Policy功能。Tablestore支援的地區請參見地區。
單個執行個體最多支援添加的授權條件總大小不能超過4 KB。
當授權條件的效果為允許的情況下,如果單個授權條件存在多個條件或者存在多個授權條目時,則只要訪問來源滿足其中任意一個條件即可訪問執行個體。
當授權條件的效果為拒絕的情況下,即使其他條件中存在允許執行相應操作,也以拒絕執行操作為準。對使用者的授權中,效果為拒絕的條件優先順序最高。
如果Instance Policy對同一個操作即進行了授權又進行了拒絕,則理解為拒絕,即使用者無相應操作許可權。
當為執行個體同時配置Instance Policy與Network ACL時,訪問來源必須同時滿足Instance Policy與Network ACL的條件時才能進行執行個體訪問。
請根據實際業務情境進行相應配置。
如果要為使用者授予某個操作許可權,請選擇效果(Effect)為允許後再配置允許某個操作的條件。如果RAM Policy等其他授權策略中存在Deny該操作的配置,則此授權將不生效。
如果要拒絕使用者進行某個操作,請選擇效果(Effect)為拒絕後再配置拒絕某個操作的條件。即使RAM Policy等其他授權策略中存在Allow該操作的配置,此授權的拒絕操作仍生效,其他授權策略中的Allow授權會失效。
操作步驟
進入新增策略面板。
在概覽頁面,選擇地區後,單擊執行個體名稱。
在安全性原則頁簽,單擊新增授權。
在新增策略面板的可視化策略展示頁簽,選擇效果(Effect)為允許或者拒絕。
說明服務(Service)固定取值為Table Store(ots),操作(Action)固定取值為全部操作(*),資源(Resource)固定取值為全部資源(*),無法修改。
根據實際添加條件。
如果需要添加多個條件,請多次執行該步驟進行添加和配置。
單擊添加條件後,單擊新增條件後的編輯。
在添加條件對話方塊,根據下表說明配置條件。
參數
說明
條件鍵
條件索引值。取值範圍如下:
acs:SourceVpc:根據來源VPC控制訪問執行個體的用戶端所處VPC。ots:TLSVersion:根據來源使用的TLS版本控制訪問執行個體的用戶端。acs:SourceIP:根據來源IP控制訪問執行個體的用戶端。
運算子
條件索引值的運算子。
當選擇條件鍵為
acs:SourceVpc或者ots:TLSVersion時,取值範圍如下:StringEquals:條件字串等於。
StringNotEquals:條件字串不等於。
當選擇條件鍵為
acs:SourceIP時,取值範圍如下:IpAddress:包括IP地址。
NotIpAddress:不包括IP地址。
條件值
請根據實際設定條件值。
當選擇條件鍵為
acs:SourceVpc時,請選擇執行個體已綁定的VPC或者填寫有效VPC ID。當選擇條件鍵為
ots:TLSVersion時,請選擇所需TLS版本,取值範圍為1.0、1.1、1.2和1.3。當選擇條件鍵為
acs:SourceIP時,請填寫IP地址或者IP網段。如果需要填寫多個IP地址,請使用半形逗號(,)分隔多個IP地址。
單擊確定。
條件配置完成後,您可以在指令碼策略展示頁簽查看策略的指令碼形式。
單擊確定。
為執行個體添加授權策略後,您可以在完整指令碼策略展示頁簽,查看執行個體的完整授權策略。關於Instance Policy許可權說明的更多資訊,請參見Instance Policy許可權說明。
相關操作
為執行個體添加授權策略後,您可以在可視化策略展示頁簽根據需要對授權策略執行相應。
操作 | 說明 |
查看授權策略資訊 | 查看授權策略的資源、操作、條件鍵、授權主題、效果等配置資訊。
|
編輯授權策略條件 | 根據需要修改授權策略的效果和條件。
|
刪除授權策略 | 根據業務變化刪除不需要的授權策略。 單擊授權策略操作列的刪除,在彈出的對話方塊中單擊確定。 重要
|