全部产品
云市场

[4]授权策略示例

更新时间:2018-09-19 16:31:00

1. 如何使用带IP限制的访问控制

示例1:在Allow授权中增加IP限制

允许通过42.120.88.0/24, 42.120.66.0/24两个IP段访问MNS

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": "mns:*",
  6. "Effect": "Allow",
  7. "Resource": "acs:mns:*:*:*",
  8. "Condition":{
  9. "IpAddress": {
  10. "acs:SourceIp": ["42.120.88.0/24", "42.120.66.0/24"]
  11. }
  12. }
  13. }
  14. ]
  15. }

示例2:在Deny授权中增加IP限制

如果源IP不在42.120.88.0/24中则禁止对MNS执行任何操作;

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": "mns:*",
  6. "Effect": "Deny",
  7. "Resource": "acs:mns:*:*:*",
  8. "Condition":{
  9. "NotIpAddress": {
  10. "acs:SourceIp": ["42.120.88.0/24"]
  11. }
  12. }
  13. }
  14. ]
  15. }

注意:因为Policy的鉴权规则是Deny优先(即如果用户的访问操作命中任意一条Deny规则,则禁止访问),所以访问者从42.120.88.0/24以外的IP地址访问时,MNS服务会报没有权限。

示例3:授予MNS控制台可读权限

仅允许子账号拥有查看队列、主题属性以及列表的权限

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Effect": "Allow",
  6. "Action": [
  7. "mns:ListQueue",
  8. "mns:ListTopic",
  9. "mns:GetQueueAttributes",
  10. "mns:GetTopicAttributes"
  11. ],
  12. "Resource": "acs:mns:*:*:*"
  13. }
  14. ]
  15. }