如何实现RAM用户仅从特定的本地IP登录DataWorks_大数据开发治理平台 DataWorks(DataWorks)-阿里云帮助中心

本文为您介绍如何实现RAM用户仅从特定的本地IP登录DataWorks。

前提条件

您需要首先创建RAM用户并进行授权，详情请参见创建RAM用户。权限AliyunDataWorksFullAccess为系统默认权限，无法修改，您需要额外创建一个自定义授权策略。

创建自定义策略

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略，然后单击创建权限策略，切换至脚本编辑页签。
在代码编辑区域使用脚本配置您的自定义权限。
自定义权限的完整内容如下所示。"acs:SourceIP"后填写的IP，便是您允许访问DataWorks的IP（支持设置多个IP）。自定义权限配置项说明请参见Policy基本元素。
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dataworks:*"
            ],
            "Resource": [
                "acs:dataworks:*:*:*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "acs:SourceIp": [
                        "10.0.0.0",
                        "192.168.0.0"
                    ]
                }
            }
        }
    ]
}
```
说明
如果要限制某个RAM用户只能从特定IP登录DataWorks，则必须在RAM Policy中使用"Effect": "Deny"的方式配置。关于权限策略语法结构的详情，请参见权限策略语法和结构。
可选：高级权限策略优化
您可以单击可选：高级策略优化，然后执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
- 拆分不兼容操作的资源或条件。
- 收缩资源到更小范围。
- 去重或合并语句。
单击确定，在弹出的对话框中设置权限策略的名称和备注。
单击确定，完成创建。

授权自定义策略给RAM用户

在左侧导航栏，选择身份管理 > 用户，然后单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户，单击用户列表下方的添加权限，为RAM用户批量授权。
切换权限策略类型为自定义策略，然后在左侧策略名称列表，选中需要授予RAM用户的权限策略。
说明
- 系统会自动填入被授权主体。
- 在右侧区域，单击某条策略后的×，即可撤销该策略。

单击确认新增授权，然后单击关闭。