为了保障您的资源安全,您可以通过自定义策略允许特定的IP地址访问服务资源。本文为您介绍如何创建自定义权限策略,完成IP白名单授权。

前提条件

创建权限策略前,您需要了解权限策略基本元素和语法结构。更多信息,请参见权限策略基本元素权限策略语法和结构

通过脚本编辑模式创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 新建自定义权限策略页面,单击脚本编辑页签。
  5. 输入IP白名单权限策略内容。例如,只允许192.0.2.0/24的IP访问,且只能访问名为SendSms的API方法。脚本配置如下:
    说明 acs:SourceIp的取值如果是单个IP地址,需要写明具体的IP地址,不能使用该IP地址的IP地址段形式xx.xx.xx.xx/32。例如:10.0.0.1不能写成10.0.0.1/32。
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "dysms:SendSms"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "IpAddress": {
                        "acs:SourceIp": [
                            "192.0.2.0/24"
                        ]
                    }
                }
            }
        ]
    }
  6. 输入权限策略名称备注
  7. 检查并优化权限策略内容。
    • 基础权限策略优化

      系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

      • 删除不必要的条件。
      • 删除不必要的数组。
    • 可选:高级权限策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。
      • 收缩资源到更小范围。
      • 去重或合并语句。
  8. 单击确定