全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网
消息服务

[4]授权策略示例

更新时间:2017-06-07 13:26:11

1. 如何使用带IP限制的访问控制

示例1:在Allow授权中增加IP限制

允许通过42.120.88.0/24, 42.120.66.0/24两个IP段访问MNS

  1. {
  2. "Statement": [
  3.   {
  4. "Action": "mns:*",
  5. "Effect": "Allow",
  6. "Resource": "acs:mns:*:*:*"
  7.   }
  8.   ],
  9.   "Version": "1",
  10. "Condition":{
  11. "IpAddress": {
  12. "acs:SourceIp": ["42.120.88.0/24", "42.120.66.0/24"]
  13. }
  14. }
  15. }

示例2:在Deny授权中增加IP限制

如果源IP不在42.120.88.0/24中则禁止对MNS执行任何操作;

  1. {
  2. "Statement": [
  3. {
  4. "Action": "mns:*",
  5. "Effect": "Deny",
  6. "Resource": "acs:mns:*:*:*"
  7. }
  8.   ],
  9.   "Version": "1",
  10. "Condition":{
  11. "NotIpAddress": {
  12. "acs:SourceIp": ["42.120.88.0/24"]
  13. }
  14. }
  15. }

注意:因为Policy的鉴权规则是Deny优先(即如果用户的访问操作命中任意一条Deny规则,则禁止访问),所以访问者从42.120.88.0/24以外的IP地址访问时,MNS服务会报没有权限。

示例3:授予MNS控制台可读权限

仅允许子账号拥有查看队列、主题属性以及列表的权限

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Effect": "Allow",
  6. "Action": [
  7. "mns:ListQueue",
  8. "mns:ListTopic",
  9. "mns:GetQueueAttributes",
  10. "mns:GetTopicAttributes"
  11. ],
  12. "Resource": "acs:mns:*:*:*"
  13. }
  14. ]
  15. }
本文导读目录