本文为您提供RAM用户通过指定IP地址访问阿里云的策略样例。
本文将提供一个示例,仅允许RAM用户通过192.0.2.0/24和203.0.113.2访问ECS。以下两种权限策略,任选其一即可:
在
Allow
策略中,使用IpAddress
增加允许访问的IP地址。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
在
Deny
策略中,使用NotIpAddress
增加允许访问的IP地址。说明权限策略遵从Deny优先原则,所以RAM用户从192.0.2.0/24和203.0.113.2以外的IP地址访问ECS时,会被拒绝。
{ "Statement": [ { "Action": "ecs:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:*", "Effect": "Deny", "Resource": "*", "Condition": { "NotIpAddress": { "acs:SourceIp": [ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
说明
Condition
(限制条件)只针对当前权限策略描述的操作有效。请将
acs:SourceIp
的值修改为您实际环境的真实IP地址。