如何实现RAM用户仅从特定的本地IP登录DataWorks_大数据开发治理平台 DataWorks(DataWorks)-阿里云帮助中心

本文为您介绍如何实现RAM用户仅从特定的本地IP登录DataWorks。

前提条件

您需要首先创建RAM用户并进行授权，详情请参见创建RAM用户。权限AliyunDataWorksFullAccess为系统默认权限，无法修改，您需要额外创建一个自定义授权策略。

创建自定义策略

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击脚本编辑页签。

在代码编辑区域使用脚本配置您的自定义权限。

自定义权限的完整内容如下所示。"acs:SourceIP"后填写的IP，便是您允许访问DataWorks的IP（支持设置多个IP）。自定义权限配置项说明请参见Policy基本元素。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dataworks:*"
            ],
            "Resource": [
                "acs:dataworks:*:*:*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "acs:SourceIp": [
                        "10.0.0.0",
                        "192.168.0.0"
                    ]
                }
            }
        }
    ]
}

说明

如果要限制某个RAM用户只能从特定IP登录DataWorks，则必须在RAM Policy中使用"Effect": "Deny"的方式配置。

输入权限策略内容，然后单击继续编辑基本信息。
关于权限策略语法结构的详情，请参见权限策略语法和结构。
输入权限策略名称和备注。
检查并优化权限策略内容。
- 基础权限策略优化
  系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务：
  - 删除不必要的条件。
  - 删除不必要的数组。
- 可选：高级权限策略优化
  您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
  - 拆分不兼容操作的资源或条件。
  - 收缩资源到更小范围。
  - 去重或合并语句。
单击确定。

授权自定义策略给RAM用户

在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户，单击用户列表下方的添加权限，为RAM用户批量授权。
单击自定义策略，在左侧权限策略名称列表，单击需要授予RAM用户的权限策略。
说明
- 系统会自动填入被授权主体。
- 在右侧区域，单击某条策略后的×，即可撤销该策略。

单击确认新增授权。
单击关闭。