全部產品
Search
文件中心

Tablestore:配置Instance Policy

更新時間:Nov 30, 2024

如果要針對執行個體進行訪問來源IP、訪問來源網路、訪問來源TLS版本的限制,您可以通過為執行個體配置Instance Policy實現,確保訪問來源安全,進而保證執行個體中資源安全。

前提條件

已建立Tablestore執行個體。具體操作,請參見建立執行個體

注意事項

  • 單個執行個體最多支援添加的授權條件總大小不能超過4 KB。

  • 當授權條件的效果為允許的情況下,如果單個授權條件存在多個條件或者存在多個授權條目時,則只要訪問來源滿足其中任意一個條件即可訪問執行個體。

  • 當授權條件的效果為拒絕的情況下,即使其他條件中存在允許執行相應操作,也以拒絕執行操作為準。對使用者的授權中,效果為拒絕的條件優先順序最高。

  • 如果Instance Policy對同一個操作即進行了授權又進行了拒絕,則理解為拒絕,即使用者無相應操作許可權。

  • 當為執行個體同時配置Instance Policy與Network ACL時,訪問來源必須同時滿足Instance Policy與Network ACL的條件時才能進行執行個體訪問。

  • 請根據實際業務情境進行相應配置。

    • 如果要為使用者授予某個操作許可權,請選擇效果(Effect)允許後再配置允許某個操作的條件。如果RAM Policy等其他授權策略中存在Deny該操作的配置,則此授權將不生效。

    • 如果要拒絕使用者進行某個操作,請選擇效果(Effect)拒絕後再配置拒絕某個操作的條件。即使RAM Policy等其他授權策略中存在Allow該操作的配置,此授權的拒絕操作仍生效,其他授權策略中的Allow授權會失效。

操作步驟

  1. 進入新增策略面板。

    1. 登入Table Store控制台

    2. 概覽頁面,選擇地區後,單擊執行個體名稱

    3. 安全性原則頁簽,單擊新增授權

  2. 新增策略面板的可視化策略展示頁簽,選擇效果(Effect)允許或者拒絕

    說明

    服務(Service)固定取值為Table Store(ots)操作(Action)固定取值為全部操作(*)資源(Resource)固定取值為全部資源(*),無法修改。

  3. 根據實際添加條件。

    如果需要添加多個條件,請多次執行該步驟進行添加和配置。

    1. 單擊添加條件後,單擊新增條件後的編輯

    2. 添加條件對話方塊,根據下表說明配置條件。

      參數

      說明

      條件鍵

      條件索引值。取值範圍如下:

      • acs:SourceVpc:根據來源VPC控制訪問執行個體的用戶端所處VPC。

      • ots:TLSVersion:根據來源使用的TLS版本控制訪問執行個體的用戶端。

      • acs:SourceIP:根據來源IP控制訪問執行個體的用戶端。

      運算子

      條件索引值的運算子。

      當選擇條件鍵acs:SourceVpc或者ots:TLSVersion時,取值範圍如下:

      • StringEquals:條件字串等於。

      • StringNotEquals:條件字串不等於。

      當選擇條件鍵acs:SourceIP時,取值範圍如下:

      • IpAddress:包括IP地址。

      • NotIpAddress:不包括IP地址。

      條件值

      請根據實際設定條件值。

      • 當選擇條件鍵acs:SourceVpc時,請選擇執行個體已綁定的VPC或者填寫有效VPC ID。

      • 當選擇條件鍵ots:TLSVersion時,請選擇所需TLS版本,取值範圍為1.0、1.1、1.2和1.3。

      • 當選擇條件鍵acs:SourceIP時,請填寫IP地址或者IP網段。

        如果需要填寫多個IP地址,請使用半形逗號(,)分隔多個IP地址。

    3. 單擊確定

      條件配置完成後,您可以在指令碼策略展示頁簽查看策略的指令碼形式。

  4. 單擊確定

    為執行個體添加授權策略後,您可以在完整指令碼策略展示頁簽,查看執行個體的完整授權策略。關於Instance Policy許可權說明的更多資訊,請參見Instance Policy許可權說明

相關操作

為執行個體添加授權策略後,您可以在可視化策略展示頁簽根據需要對授權策略執行相應。

操作

說明

查看授權策略資訊

查看授權策略的資源、操作、條件鍵、授權主題、效果等配置資訊。

  • 在權策略列表中直接查看授權策略的配置資訊

  • 單擊授權策略操作列的策略查詢,在策略查詢面板查看相應授權策略的可視化資訊和指令碼策略資訊。

編輯授權策略條件

根據需要修改授權策略的效果和條件。

  1. 單擊授權策略操作列的編輯

  2. 編輯策略面板,根據需要修改效果和條件資訊。

  3. 單擊確定

刪除授權策略

根據業務變化刪除不需要的授權策略。

單擊授權策略操作列的刪除,在彈出的對話方塊中單擊確定

重要
  • 授權策略刪除後不可恢複,只能重新設定。

  • 授權策略刪除後,相應許可權控制將失效,請確保執行個體處於安全環境。