如果要针对实例进行访问来源IP、访问来源网络、访问来源TLS版本的限制,您可以通过为实例配置Instance Policy实现,确保访问来源安全,进而保证实例中资源安全。
前提条件
已创建表格存储实例。具体操作,请参见创建实例。
注意事项
只有阿联酋(迪拜)地域不支持Instance Policy功能。表格存储支持的地域请参见地域。
单个实例最多支持添加的授权条件总大小不能超过4 KB。
当授权条件的效果为允许的情况下,如果单个授权条件存在多个条件或者存在多个授权条目时,则只要访问来源满足其中任意一个条件即可访问实例。
当授权条件的效果为拒绝的情况下,即使其他条件中存在允许执行相应操作,也以拒绝执行操作为准。对用户的授权中,效果为拒绝的条件优先级最高。
如果Instance Policy对同一个操作即进行了授权又进行了拒绝,则理解为拒绝,即用户无相应操作权限。
当为实例同时配置Instance Policy与Network ACL时,访问来源必须同时满足Instance Policy与Network ACL的条件时才能进行实例访问。
请根据实际业务场景进行相应配置。
如果要为用户授予某个操作权限,请选择效果(Effect)为允许后再配置允许某个操作的条件。如果RAM Policy等其他授权策略中存在Deny该操作的配置,则此授权将不生效。
如果要拒绝用户进行某个操作,请选择效果(Effect)为拒绝后再配置拒绝某个操作的条件。即使RAM Policy等其他授权策略中存在Allow该操作的配置,此授权的拒绝操作仍生效,其他授权策略中的Allow授权会失效。
操作步骤
进入新增策略面板。
登录表格存储控制台。
在概览页面,选择地域后,单击实例名称。
在安全策略页签,单击新增授权。
在新增策略面板的可视化策略展示页签,选择效果(Effect)为允许或者拒绝。
说明服务(Service)固定取值为表格存储(ots),操作(Action)固定取值为全部操作(*),资源(Resource)固定取值为全部资源(*),无法修改。
根据实际添加条件。
如果需要添加多个条件,请多次执行该步骤进行添加和配置。
单击添加条件后,单击新增条件后的编辑。
在添加条件对话框,根据下表说明配置条件。
参数
说明
条件键
条件键值。取值范围如下:
acs:SourceVpc:根据来源VPC控制访问实例的客户端所处VPC。ots:TLSVersion:根据来源使用的TLS版本控制访问实例的客户端。acs:SourceIP:根据来源IP控制访问实例的客户端。
运算符
条件键值的运算符。
当选择条件键为
acs:SourceVpc或者ots:TLSVersion时,取值范围如下:StringEquals:条件字符串等于。
StringNotEquals:条件字符串不等于。
当选择条件键为
acs:SourceIP时,取值范围如下:IpAddress:包括IP地址。
NotIpAddress:不包括IP地址。
条件值
请根据实际设置条件值。
当选择条件键为
acs:SourceVpc时,请选择实例已绑定的VPC或者填写有效的VPC ID。当选择条件键为
ots:TLSVersion时,请选择所需TLS版本,取值范围为1.0、1.1、1.2和1.3。当选择条件键为
acs:SourceIP时,请填写IP地址或者IP网段。如果需要填写多个IP地址,请使用半角逗号(,)分隔多个IP地址。
单击确定。
条件配置完成后,您可以在脚本策略展示页签查看策略的脚本形式。
单击确定。
为实例添加授权策略后,您可以在完整脚本策略展示页签,查看实例的完整授权策略。关于Instance Policy权限说明的更多信息,请参见Instance Policy权限说明。
相关操作
为实例添加授权策略后,您可以在可视化策略展示页签根据需要对授权策略执行相应。
操作 | 说明 |
查看授权策略信息 | 查看授权策略的资源、操作、条件键、授权主题、效果等配置信息。
|
编辑授权策略条件 | 根据需要修改授权策略的效果和条件。
|
删除授权策略 | 根据业务变化删除不需要的授权策略。 单击授权策略操作列的删除,在弹出的对话框中单击确定。 重要
|