访问密钥AccessKey(简称AK)网络访问限制策略,通过指定允许AccessKey调用的来源地址,限制AccessKey只能从这些网络地址调用阿里云API,将AccessKey调用来源控制在可信的网络环境内,提升AccessKey的安全性。
AccessKey网络访问限制策略功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。
AccessKey网络访问限制策略对除云消息队列RocketMQ版、云消息队列RabbitMQ版、云消息队列MQTT版、事件总线EventBridge、轻量消息队列、云监控(通过HTTP上报事件监控数据功能)、实时数仓Hologres以外的所有云产品生效,未支持的云产品上线时间由云产品另行通知。
策略类型
RAM提供以下两种AccessKey网络访问限制策略:
账号级AccessKey网络访问限制策略
该策略默认对云账号内所有AccessKey生效,包括主账号AccessKey和RAM用户AccessKey,但对设置了AccessKey级网络访问限制策略的AccessKey不生效。
AccessKey级网络访问限制策略
该策略对单个AccessKey生效,当一个AccessKey设置了AccessKey级网络访问控策略后,账号级AccessKey网络访问限制策略对该AccessKey不生效。
两种类型的AccessKey网络访问限制策略判定流程如下:
配置策略
网络访问限制策略配置后会立即生效,建议您在配置前参考AccessKey审计记录,结合企业网络管理信息,梳理可信的网络地址列表,确保访问策略地址准确和完整。
配置账号级网络访问限制策略
使用RAM管理员登录RAM控制台。
在设置页面的网络访问限制区域,单击允许通过AccessKey访问的来源网络地址右侧的修改。
在账号级网络访问限制策略对话框,设置账号级公网策略和专有网络策略。
公网策略:需填入公网IP地址或IP地址段,支持IPv4和IPv6格式。不创建公网策略代表所有公网IP来源均可通过。因此,若要拒绝所有公网访问,需要填入非公网地址,例如:
127.0.0.1
。专有网络策略:需填入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不创建专有网络策略代表所有来自专有网络的调用均可通过。创建专有网络策略,在IP列表中填入
0.0.0.0/0
或::/0
,表示允许该VPC内的所有IP地址的访问。
如下图所示,允许该账号下所有AccessKey通过公网IP地址(
203.0.113.1
)调用阿里云API,同时,允许通过VPC(vpc-m5ekxe1zi8zwgqrtc****
)内的所有IP地址调用阿里云API。说明支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。
配置AccessKey级网络访问限制策略
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击目标RAM用户名称。
在认证管理页签下的AccessKey区域,单击目标AccessKey操作列的网络访问限制策略。
在AccessKey级网络访问限制策略对话框,设置AccessKey级公网策略和专有网络策略。
公网策略:需填入公网IP地址或IP地址段,支持IPv4和IPv6格式。不创建公网策略代表所有公网IP来源均可通过。因此,若要拒绝所有公网访问,需要填入非公网地址,例如:
127.0.0.1
。专有网络策略:需填入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不创建专有网络策略代表所有来自专有网络的调用均可通过。创建专有网络策略,在IP列表中填入
0.0.0.0/0
或::/0
,表示允许该VPC内的所有IP地址的访问。
如下图所示,允许目标AccessKey通过公网IP地址(
203.0.113.1
)调用阿里云API,同时,允许通过VPC(vpc-m5ekxe1zi8zwgqrtc****
)内的所有IP地址调用阿里云API。说明支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。
使用限制
云账号和单个AccessKey均支持最多添加8条网络访问限制策略,其中公网策略最多添加1条。
每条策略最多包含50个IP地址或IP地址段。