通过RAM限制用户的访问IP地址

RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。

应用场景

企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望用户只能通过指定的IP地址访问阿里云资源,而不是在任意地点都可以访问阿里云资源。

您可以根据需要创建自定义权限策略,然后创建RAM用户并为RAM用户授予对应的权限,从而保证RAM用户只能通过指定的IP地址访问阿里云资源。

操作步骤

本文将提供一个示例,仅允许RAM用户通过192.0.2.0/24203.0.113.2这两个IP地址访问ECS实例。

  1. 使用RAM管理员创建自定义权限策略。

    登录RAM控制台,选择权限管理 > 权限策略,单击创建权限策略,采用可视化编辑模式或脚本编辑模式创建自定义权限策略。具体操作,请参见创建自定义权限策略

    image

    权限策略内容如下:

    {
      "Statement": [
        {
          "Action": "ecs:*",
          "Effect": "Allow",
          "Resource": "*",
          "Condition": {
            "IpAddress": {
              "acs:SourceIp":[
              "192.0.2.0/24",
              "203.0.113.2"
             ]
            }
          }
        }
      ],
      "Version": "1"
    }
    说明

    实际使用时,请将acs:SourceIp的值修改为您实际环境的真实IP地址。

  2. 使用RAM管理员创建RAM用户。

    选择身份管理 > 用户,单击创建用户,创建RAM用户。为了账号安全,建议您根据实际用途为RAM用户只选择控制台访问OpenAPI调用访问中的一种,将人员用户和应用程序用户分离,避免混用。具体操作,请参见创建RAM用户

    image

  3. 使用RAM管理员为RAM用户授权。

    用户页面,找到目标RAM用户,为RAM用户添加对应的自定义权限策略。具体操作,请参见为RAM用户授权

    image

  4. 使用RAM用户访问ECS实例,验证权限策略是否生效。

    如果RAM用户从权限策略中指定的IP地址(192.0.2.0/24203.0.113.2)访问ECS实例,可以正常访问;同时,该RAM用户从其他IP地址发起访问,访问均被拒绝。则表示权限策略已经生效。

常见问题

授权后,发现权限策略不生效怎么办?

如果您对RAM用户授权后,发现权限策略不生效,那可能是权限策略中设置的IP地址不正确。对于支持操作审计的云服务,您可以在操作审计控制台查看相关的操作事件,在操作事件详情中获取RAM用户发起请求的源IP地址。然后尝试修改权限策略中的IP地址,重新验证权限策略是否生效。

image

image

相关文档

  • 除了本文所述的在Allow策略中,使用IpAddress设置允许访问的IP地址,您还可以在Deny策略中,使用NotIpAddress设置允许访问的IP地址。具体的权限策略示例,请参见通过指定的IP地址访问阿里云

  • 权限策略中的EffectActionResourceCondition等元素的含义,请参见权限策略基本元素

  • 在操作审计中查看事件的具体操作,请参见快速查询事件